SD-WAN ၏ ဒီမိုကရေစီအရှိဆုံးကို လေ့လာခြင်း- ဗိသုကာ၊ ဖွဲ့စည်းတည်ဆောက်ပုံ၊ အုပ်ချုပ်ရေးနှင့် ချို့ယွင်းချက်များ

SD-WAN မှတဆင့်ကျွန်ုပ်တို့ထံရောက်ရှိလာသောမေးခွန်းပေါင်းများစွာဖြင့်အကဲဖြတ်ခြင်းနည်းပညာသည်ရုရှားတွင်စတင်အမြစ်တွယ်လာသည်။ စျေးသည်များသည် သဘာဝအတိုင်း အိပ်မောကျနေပြီး ၎င်းတို့၏ အယူအဆများကို ကမ်းလှမ်းကြသည်မဟုတ်ပဲ၊ အချို့သော သတ္တိရှိသော ရှေ့ဆောင်များသည် ၎င်းတို့ကို ၎င်းတို့၏ ကွန်ရက်များတွင် အကောင်အထည်ဖော်နေပြီဖြစ်သည်။

ကျွန်ုပ်တို့သည် ရောင်းချသူအားလုံးနီးပါးနှင့် အလုပ်လုပ်ပြီး ကျွန်ုပ်တို့၏ဓာတ်ခွဲခန်းတွင် နှစ်အတော်ကြာကြာ ဆော့ဖ်ဝဲလ်သတ်မှတ်ထားသော ဖြေရှင်းချက်များစွာကို တီထွင်သူတိုင်း၏ ဗိသုကာလက်ရာကို လေ့လာနိုင်ခဲ့သည်။ Fortinet မှ SD-WAN သည် firewall software အတွင်းသို့ ဆက်သွယ်ရေးလမ်းကြောင်းများကြား အသွားအလာကို ဟန်ချက်ညီစေသည့် လုပ်ဆောင်ချက်ကို ဖန်တီးပေးသည့် ဤနေရာတွင် အနည်းငယ်ခြားနားပါသည်။ ဖြေရှင်းချက်သည် ဒီမိုကရေစီနည်းကျသောကြောင့် ကမ္ဘာလုံးဆိုင်ရာပြောင်းလဲမှုများအတွက် အဆင်သင့်မဖြစ်သေးသော ကုမ္ပဏီများက ၎င်းကို အများအားဖြင့် ယူဆကြပြီး ၎င်းတို့၏ ဆက်သွယ်ရေးလမ်းကြောင်းများကို ပိုမိုထိရောက်စွာ အသုံးပြုလိုကြသည်။

ဤဆောင်းပါးတွင် Fortinet မှ SD-WAN နှင့် မည်သို့လုပ်ဆောင်ရမည်ကို ပြောပြလိုသည်မှာ၊ ဤဖြေရှင်းချက်သည် မည်သူနှင့် သင့်လျော်သနည်း၊ ဤနေရာတွင် သင်ကြုံတွေ့ရနိုင်သည့် အန္တရာယ်များကို ကျွန်ုပ်ပြောပြလိုပါသည်။

SD-WAN စျေးကွက်တွင် အထင်ရှားဆုံး ကစားသမားများကို အမျိုးအစား နှစ်မျိုးထဲမှ တစ်ခုအဖြစ် ခွဲခြားနိုင်ပါသည်။

1. SD-WAN ဖြေရှင်းချက်များအား အစမှစတင်ဖန်တီးခဲ့သော လုပ်ငန်းစတင်မှုများ။ ဤအရာများထဲမှ အအောင်မြင်ဆုံးသူများသည် ကုမ္ပဏီကြီးများမှ ဝယ်ယူပြီးနောက် ဖွံ့ဖြိုးတိုးတက်မှုအတွက် ကြီးမားသောတွန်းအားကို ရရှိသည် - ဤသည်မှာ Cisco/Viptela၊ VMWare/VeloCloud၊ Nuage/Nokia တို့၏ ဇာတ်လမ်းဖြစ်သည်။

2. SD-WAN ဖြေရှင်းချက်များအား ဖန်တီးပြီး ၎င်းတို့၏ ရိုးရာ router များ၏ ပရိုဂရမ်လုပ်ဆောင်နိုင်မှုနှင့် စီမံခန့်ခွဲနိုင်မှုတို့ကို တီထွင်ခဲ့သည့် ကြီးမားသော ကွန်ရက်ရောင်းချသူများ - ဤသည်မှာ Juniper၊ Huawei ၏ ဇာတ်လမ်းဖြစ်သည်။

Fortinet သည် ၎င်း၏နည်းလမ်းကို ရှာဖွေနိုင်ခဲ့သည်။ Firewall ဆော့ဖ်ဝဲလ်တွင် ၎င်းတို့၏ အင်တာဖေ့စ်များကို virtual ချန်နယ်များအဖြစ် ပေါင်းစပ်ကာ သမားရိုးကျ လမ်းကြောင်းတင်ခြင်းထက် ရှုပ်ထွေးသော အယ်လဂိုရီသမ်များကို အသုံးပြု၍ ၎င်းတို့ကြားရှိ ဝန်အား ချိန်ခွင်လျှာညှိရန် ပေါင်းစပ်လုပ်ဆောင်နိုင်စွမ်း ပါရှိသည်။ ဤလုပ်ဆောင်ချက်ကို SD-WAN ဟုခေါ်သည်။ Fortinet ကို SD-WAN ဟုခေါ်နိုင်ပါသလား။ Software-Defined ဆိုသည်မှာ Control Plane ကို Data Plane၊ သီးသန့် controllers များနှင့် orchestrator များနှင့် ခွဲခြားထားခြင်းကို စျေးကွက်မှ တဖြည်းဖြည်း နားလည်လာပါသည်။ Fortinet မှာ အဲဒီလို ဘာမှမရှိပါဘူး။ ဗဟိုချုပ်ကိုင်မှုစီမံခန့်ခွဲမှုသည် ရွေးချယ်ခွင့်ရှိပြီး ရိုးရာ Fortimanager ကိရိယာမှတဆင့် ကမ်းလှမ်းထားသည်။ ဒါပေမယ့် ငါ့အမြင်အရတော့ မင်းဟာ စိတ္တဇအမှန်တရားကို ရှာပြီး အသုံးအနှုန်းတွေအကြောင်း ငြင်းခုံရင်း အချိန်ဖြုန်းမနေသင့်ဘူး။ လက်တွေ့ကမ္ဘာတွင်၊ ချဉ်းကပ်မှုတစ်ခုစီတွင် ၎င်း၏အားသာချက်များနှင့် အားနည်းချက်များရှိသည်။ အကောင်းဆုံးနည်းလမ်းမှာ ၎င်းတို့ကို နားလည်ရန်နှင့် အလုပ်များနှင့် ကိုက်ညီသော ဖြေရှင်းနည်းများကို ရွေးချယ်နိုင်ခြင်းဖြစ်သည်။

Fortinet မှ SD-WAN ပုံသဏ္ဌာန်နှင့် ၎င်းသည် မည်သို့လုပ်ဆောင်နိုင်သည်ကို လက်ထဲတွင် ဖန်သားပြင်ဓာတ်ပုံများဖြင့် ပြောပြရန် ကြိုးစားပါမည်။

အားလုံးဘယ်လိုအလုပ်လုပ်လဲ။

သင့်တွင် ဒေတာချန်နယ်နှစ်ခုဖြင့် ချိတ်ဆက်ထားသော အကိုင်းအခက်နှစ်ခုရှိသည်ဟု ယူဆကြပါစို့။ ဤဒေတာလင့်ခ်များကို LACP-Port-Channel တွင် ပုံမှန် Ethernet အင်တာဖေ့စ်များ ပေါင်းစပ်ပုံနှင့် ဆင်တူသော အုပ်စုတစ်ခုအဖြစ် ပေါင်းစပ်ထားသည်။ ရှေးခေတ်ဟောင်းများသည် PPP Multilink ကို မှတ်မိကြလိမ့်မည် - သင့်လျော်သော ဥပမာတစ်ခုလည်းဖြစ်သည်။ ချန်နယ်များသည် ရုပ်ပိုင်းဆိုင်ရာ ဆိပ်ကမ်းများ၊ VLAN SVI အပြင် VPN သို့မဟုတ် GRE ဥမင်များ ဖြစ်နိုင်သည်။

VPN သို့မဟုတ် GRE ကိုအင်တာနက်ပေါ်ရှိ ဌာနခွဲဒေသခံကွန်ရက်များကို ချိတ်ဆက်သောအခါတွင် အများအားဖြင့် အသုံးပြုကြသည်။ နှင့် ရုပ်ပိုင်းဆိုင်ရာ ပို့တ်များ - ဆိုက်များကြားတွင် L2 ချိတ်ဆက်မှုများ ရှိလျှင် သို့မဟုတ် သီးခြား MPLS/VPN နှင့် ချိတ်ဆက်သည့်အခါ၊ Overlay နှင့် ကုဒ်ဝှက်ခြင်းမရှိဘဲ ချိတ်ဆက်မှုကို ကျွန်ုပ်တို့ ကျေနပ်ပါက၊ SD-WAN အဖွဲ့တွင် ရုပ်ပိုင်းဆိုင်ရာ port များကိုအသုံးပြုသည့်နောက်ထပ်အခြေအနေမှာ သုံးစွဲသူများ၏ ဒေသတွင်းဝင်ရောက်ခွင့်ကို ချိန်ညှိပေးခြင်းဖြစ်ပါသည်။

ကျွန်ုပ်တို့၏ရပ်တည်ချက်တွင် firewall လေးခုနှင့် "ဆက်သွယ်ရေးအော်ပရေတာနှစ်ခု" မှတဆင့်လည်ပတ်နေသော VPN ဥမင်နှစ်ခုရှိသည်။ ပုံသည် ဤကဲ့သို့ ဖြစ်သည်-

VPN ဥမင်များကို အင်တာဖေ့စ်မုဒ်တွင် ပြင်ဆင်သတ်မှတ်ထားသောကြောင့် ၎င်းတို့သည် P2P အင်တာဖေ့စ်များရှိ IP လိပ်စာများရှိသည့် စက်ပစ္စည်းများအကြား ညွှန်မှမှတ်ချိတ်ဆက်မှုများနှင့် ဆင်တူသည်။ ယာဉ်အသွားအလာကို ကုဒ်ဝှက်ပြီး ဆန့်ကျင်ဘက်သို့ သွားရန်အတွက် ဥမင်လိုဏ်ခေါင်းထဲသို့ လမ်းကြောင်းပြောင်းရန် လုံလောက်ပါသည်။ အခြားရွေးချယ်စရာမှာ ဖွဲ့စည်းမှုပုံစံသည် ပိုမိုရှုပ်ထွေးလာသည်နှင့်အမျှ စီမံခန့်ခွဲသူကို အလွန်ရှုပ်ထွေးစေသည့် subnets များစာရင်းများကို အသုံးပြုကာ ကုဒ်ဝှက်ခြင်းအတွက် traffic ကို ရွေးချယ်ရန်ဖြစ်သည်။ ကွန်ရက်ကြီးတစ်ခုတွင်၊ VPN တစ်ခုတည်ဆောက်ရန် ADVPN နည်းပညာကို သင်အသုံးပြုနိုင်သည်၊ ၎င်းသည် ပိုမိုလွယ်ကူစွာထည့်သွင်းသတ်မှတ်နိုင်စေသည့် Huawei မှ Cisco သို့မဟုတ် DVPN ထံမှ DMVPN ၏ analogue တစ်ခုဖြစ်သည်။

နှစ်ဖက်စလုံးတွင် BGP လမ်းကြောင်းပေးသည့် စက်နှစ်လုံးအတွက် Site-to-Site VPN config

«ЦОД» (DC)
«Филиал» (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

ကျွန်ုပ်သည် စာသားပုံစံဖြင့် config ကို ပေးဆောင်နေသည်၊ အကြောင်းမှာ၊ ကျွန်ုပ်၏အမြင်အရ၊ ဤနည်းဖြင့် VPN ကို configure လုပ်ခြင်းက ပိုအဆင်ပြေသောကြောင့်ဖြစ်သည်။ နှစ်ဖက်စလုံးတွင် ဆက်တင်အားလုံးနီးပါးသည် တူညီပြီး စာသားပုံစံဖြင့် ၎င်းတို့ကို ကော်ပီကူးထည့်ခြင်းအဖြစ် ပြုလုပ်နိုင်သည်။ ဝဘ်အင်တာဖေ့စ်တွင် တူညီသောအရာကို ပြုလုပ်ပါက၊ အမှားလုပ်ရန် လွယ်ကူသည် - အမှတ်အသားကို တစ်နေရာရာမှာ မေ့သွားကာ မှားသောတန်ဖိုးကို ထည့်ပါ။

ကျွန်ုပ်တို့သည် အင်တာဖေ့စ်များကို အစုအဝေးတွင် ထည့်ပြီးနောက်

လမ်းကြောင်းများနှင့် လုံခြုံရေးမူဝါဒများအားလုံးသည် ၎င်းကိုရည်ညွှန်းနိုင်ပြီး ၎င်းတွင်ပါဝင်သော အင်တာဖေ့စ်များကို ရည်ညွှန်းနိုင်သည်။ အနည်းဆုံးအားဖြင့်၊ သင်သည် အတွင်းပိုင်းကွန်ရက်များမှ SD-WAN သို့ အသွားအလာကို ခွင့်ပြုရန် လိုအပ်သည်။ ၎င်းတို့အတွက် စည်းမျဥ်းများကို သင်ဖန်တီးသောအခါ၊ သင်သည် IPS၊ antivirus နှင့် HTTPS ထုတ်ဖော်ခြင်းကဲ့သို့သော အကာအကွယ်အစီအမံများကို အသုံးချနိုင်သည်။

SD-WAN စည်းမျဉ်းများကို အစုအဝေးအတွက် ပြင်ဆင်သတ်မှတ်ထားသည်။ ဤအရာများသည် သီးခြားယာဉ်အသွားအလာအတွက် ချိန်ခွင်လျှာညှိသည့် အယ်လဂိုရီသမ်ကို သတ်မှတ်ပေးသည့် စည်းမျဉ်းများဖြစ်သည်။ ၎င်းတို့သည် Policy-Based Routing တွင် လမ်းကြောင်းသတ်မှတ်ခြင်းမူဝါဒများနှင့် ဆင်တူသည်၊ မူဝါဒအောက်တွင် အသွားအလာ ကျဆင်းသွားခြင်းကြောင့်သာ ၎င်းသည် ထည့်သွင်းထားသည့် နောက်ဟော့ သို့မဟုတ် ပုံမှန်အထွက်အင်တာဖေ့စ်မဟုတ်သော်လည်း SD-WAN အစုအဝေးတွင် ထည့်သွင်းထားသည့် အင်တာဖေ့စ်များ ဤအင်တာဖေ့စ်များကြား အသွားအလာချိန်ညှိသည့် အယ်လဂိုရီသမ်။

အသွားအလာကို L3-L4 အချက်အလက်များ၊ အသိအမှတ်ပြု အပလီကေးရှင်းများ၊ အင်တာနက်ဝန်ဆောင်မှုများ (URL နှင့် IP) နှင့် အလုပ်ရုံများနှင့် လက်ပ်တော့များ၏ အသိအမှတ်ပြုအသုံးပြုသူများမှ လမ်းကြောင်းအသွားအလာကို ခွဲခြားနိုင်သည်။ ၎င်းပြီးနောက်၊ ခွဲဝေချထားပေးသော အသွားအလာသို့ အောက်ပါ ချိန်ခွင်လျှာညှိသည့် အယ်လဂိုရီသမ်များထဲမှ တစ်ခုကို သတ်မှတ်နိုင်သည်-

အင်တာဖေ့စ် စိတ်ကြိုက်စာရင်းတွင်၊ ဤအသွားအလာအမျိုးအစားကို ဆောင်ရွက်ပေးမည့် အစုအဝေးတွင် ထည့်သွင်းပြီးသော အင်တာဖေ့စ်များကို ရွေးထားသည်။ အင်တာဖေ့စ်အားလုံးကို မထည့်ခြင်းဖြင့်၊ သင်သည် ၎င်းကို မြင့်မားသော SLA ဖြင့် စျေးကြီးသောချန်နယ်များကို ဝန်ထုပ်ဝန်ပိုးမဖြစ်စေလိုပါက မည်သည့်ချန်နယ်များကို သင်အသုံးပြုသည်၊ ပြော၊ အီးမေးလ်ကို အတိအကျ ကန့်သတ်နိုင်သည်။ FortiOS 6.4.1 တွင်၊ SD-WAN အစုအဝေးတွင် ထည့်သွင်းထားသော အင်တာဖေ့စ်များကို ဇုန်များအဖြစ် အုပ်စုဖွဲ့ခြင်း၊ ဥပမာအားဖြင့်၊ အဝေးမှဆိုက်များနှင့် ဆက်သွယ်ရေးအတွက် ဇုန်တစ်ခု၊ NAT ကို အသုံးပြု၍ ဒေသတွင်းအင်တာနက်အသုံးပြုခွင့်အတွက် အခြားတစ်ခုကို ဖန်တီးနိုင်ခဲ့သည်။ ဟုတ်တယ်၊ ပုံမှန်အင်တာနက်ကိုသွားမယ့် လမ်းကြောင်းကိုလည်း ဟန်ချက်ညီစေနိုင်ပါတယ်။

ဟန်ချက်ညီသော algorithms အကြောင်း

Fortigate (Fortinet မှ firewall) သည် channels များအကြား traffic ကိုမည်သို့ခွဲထုတ်နိုင်သည်နှင့် ပတ်သက်၍ စျေးကွက်တွင်အသုံးများသောစိတ်ဝင်စားဖွယ်ရွေးချယ်စရာနှစ်ခုရှိသည်။

အနိမ့်ဆုံးကုန်ကျစရိတ် (SLA) - ယခုအချိန်တွင် SLA ကို ကျေနပ်စေမည့် အင်တာဖေ့စ်အားလုံးမှ၊ စီမံခန့်ခွဲသူမှ ကိုယ်တိုင်သတ်မှတ်ထားသော အလေးချိန် (ကုန်ကျစရိတ်) သက်သာသော အမျိုးအစားကို ရွေးချယ်ထားသည်။ ဤမုဒ်သည် မိတ္တူကူးခြင်းနှင့် ဖိုင်လွှဲပြောင်းခြင်းကဲ့သို့သော "အစုလိုက်" အသွားအလာအတွက် သင့်လျော်သည်။

အကောင်းဆုံး အရည်အသွေး (SLA) - ဤ algorithm သည် Fortigate packets များ၏ ပုံမှန်နှောင့်နှေးမှု၊ တုန်လှုပ်မှုနှင့် ဆုံးရှုံးမှုအပြင်၊ ချန်နယ်များ၏ အရည်အသွေးကို အကဲဖြတ်ရန် လက်ရှိ channel load ကိုလည်း အသုံးပြုနိုင်သည်။ ဤမုဒ်သည် VoIP နှင့် ဗီဒီယိုကွန်ဖရင့်ကဲ့သို့သော အရေးကြီးသော အသွားအလာများအတွက် သင့်လျော်သည်။

ဤအယ်လဂိုရီသမ်များသည် ဆက်သွယ်ရေးလမ်းကြောင်း၏စွမ်းဆောင်ရည်မီတာ - Performance SLA ကိုတပ်ဆင်ရန်လိုအပ်သည်။ ဤမီတာသည် အခါအားလျော်စွာ (စစ်ဆေးသည့်အချိန်ကာလ) သည် SLA နှင့် လိုက်လျောညီထွေရှိမှုဆိုင်ရာ အချက်အလက်များကို စောင့်ကြည့်သည်- ဆက်သွယ်ရေးချန်နယ်တွင် ထုပ်ပိုးဆုံးရှုံးမှု၊ latency နှင့် တုန်လှုပ်ခြင်းတို့ကို စောင့်ကြည့်ပြီး အရည်အသွေးသတ်မှတ်ချက်များနှင့် မပြည့်မီသော လက်ရှိချန်နယ်များကို “ငြင်းပယ်” နိုင်သည် – ၎င်းတို့သည် ထုပ်ပိုးမှုများစွာဆုံးရှုံးခြင်း သို့မဟုတ် ကြုံတွေ့နေရသည် latency အများကြီး။ ထို့အပြင်၊ မီတာသည် ချန်နယ်၏ အခြေအနေကို စောင့်ကြည့်ပြီး တုံ့ပြန်မှုများ ထပ်ခါတလဲလဲ ဆုံးရှုံးခြင်း (မလှုပ်ရှားမီ ပျက်ကွက်မှုများ) တွင် ၎င်းကို အစုအဝေးမှ ယာယီဖယ်ရှားနိုင်သည်။ ပြန်လည်ရယူသည့်အခါ၊ ဆက်တိုက်တုံ့ပြန်မှုများပြီးနောက် (လင့်ခ်ကိုပြန်လည်ရယူပြီးနောက်)၊ မီတာသည် ချန်နယ်အစုအဝေးသို့ အလိုအလျောက်ပြန်သွားမည်ဖြစ်ပြီး ဒေတာများကို ၎င်းမှတစ်ဆင့် ထပ်မံပေးပို့မည်ဖြစ်သည်။

ဤသည်မှာ "မီတာ" ဆက်တင်ပုံသည်-

ဝဘ်အင်တာဖေ့စ်တွင်၊ ICMP-Echo-တောင်းဆိုချက်၊ HTTP-GET နှင့် DNS တောင်းဆိုချက်တို့ကို စမ်းသပ်ပရိုတိုကောများအဖြစ် ရနိုင်ပါသည်။ command line တွင် ရွေးချယ်စရာအနည်းငယ်ရှိပါသည်- TCP-echo နှင့် UDP-echo ရွေးချယ်စရာများအပြင် အထူးပြုအရည်အသွေးတိုင်းတာခြင်းပရိုတိုကော - TWAMP ။

တိုင်းတာခြင်းရလဒ်များကို ဝဘ်အင်တာဖေ့စ်တွင် တွေ့မြင်နိုင်သည်-

ပြီးတော့ command line မှာ

ပြသာနာရှာဖွေရှင်းပေးခြင်း

စည်းမျဉ်းတစ်ခုကို သင်ဖန်တီးထားသော်လည်း အရာအားလုံးသည် မျှော်လင့်ထားသည့်အတိုင်း အလုပ်မဖြစ်ပါက၊ SD-WAN စည်းမျဉ်းများစာရင်းရှိ Hit Count တန်ဖိုးကို သင်ကြည့်ရှုသင့်သည်။ ယာဉ်ကြောအသွားအလာသည် ဤစည်းမျဉ်းတွင် လုံးဝ အကျုံးဝင်ခြင်း ရှိမရှိကို ပြသပါမည်-

မီတာကိုယ်တိုင်၏ ဆက်တင်စာမျက်နှာတွင်၊ အချိန်ကြာလာသည်နှင့်အမျှ ချန်နယ်ဘောင်များတွင် အပြောင်းအလဲများကို သင်တွေ့မြင်နိုင်ပါသည်။ အစက်ချမျဉ်းသည် ကန့်သတ်ဘောင်တန်ဖိုးကို ညွှန်ပြသည်။

ဝဘ်အင်တာဖေ့စ်တွင် ဒေတာပေးပို့/လက်ခံရရှိမှုပမာဏနှင့် ဆက်ရှင်အရေအတွက်အားဖြင့် ယာဉ်အသွားအလာကို မည်ကဲ့သို့ ဖြန့်ဝေသည်ကို သင်ကြည့်ရှုနိုင်သည်-

ဒါတွေအားလုံးအပြင်၊ အများဆုံးအသေးစိတ်အချက်အလက်တွေနဲ့ packets တွေရဲ့လမ်းကြောင်းကို ခြေရာခံဖို့ အကောင်းဆုံးအခွင့်အရေးတစ်ခုရှိပါတယ်။ စစ်မှန်သောကွန်ရက်တွင်အလုပ်လုပ်သောအခါ၊ စက်ပစ္စည်းဖွဲ့စည်းပုံသည် SD-WAN ပေါက်များတစ်လျှောက်တွင် လမ်းကြောင်းပေါ်လစီများ၊ firewalling နှင့် traffic distribution အများအပြားကို စုဆောင်းထားသည်။ ဤအရာအားလုံးသည် တစ်ခုနှင့်တစ်ခု ရှုပ်ထွေးသောနည်းလမ်းဖြင့် အပြန်အလှန်သက်ရောက်မှုရှိပြီး ရောင်းချသူသည် packet processing algorithms ၏အသေးစိတ်ဘလောက်ပုံများကို ပံ့ပိုးပေးသော်လည်း သီအိုရီများကိုတည်ဆောက်၍ မစမ်းသပ်နိုင်ဘဲ အသွားအလာအမှန်တကယ်သွားနေသည့်နေရာကိုကြည့်ရန် အလွန်အရေးကြီးပါသည်။

ဥပမာအားဖြင့်၊ အောက်ပါ command အစုံ

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

10.200.64.15 နှင့် ဦးတည်ရာလိပ်စာ 10.1.7.2 ရှိသော အရင်းအမြစ်လိပ်စာပါသော အထုပ်နှစ်ခုကို ခြေရာခံခွင့်ပြုသည်။
ကျွန်ုပ်တို့သည် 10.7.1.2 မှ 10.200.64.15 ကို နှစ်ကြိမ်တိုင်တိုင် ping လုပ်ပြီး console ပေါ်ရှိ output ကိုကြည့်ပါ။

ပထမအထုပ်-

ဒုတိယအထုပ်-

ဤသည်မှာ firewall မှလက်ခံရရှိသော ပထမဆုံး packet ဖြစ်သည်။
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

သူ့အတွက် စက်ရှင်အသစ်တစ်ခုကို ဖန်တီးထားသည်-
msg="allocate a new session-0006a627"

လမ်းကြောင်းပေါ်လစီဆက်တင်များတွင် ကိုက်ညီမှုတစ်ခုကို တွေ့ရှိခဲ့သည်။
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

ပက်ကတ်ကို VPN ဥမင်များထဲမှ တစ်ခုသို့ ပို့ရန် လိုအပ်ကြောင်း တွေ့ရှိရပါသည်-
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

Firewall မူဝါဒများတွင် အောက်ပါခွင့်ပြုချက်စည်းမျဉ်းကို တွေ့ရှိသည်-
msg="Allowed by Policy-3:"

ပက်ကတ်ကို ကုဒ်ဝှက်ထားပြီး VPN ဥမင်သို့ ပို့သည်-
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

ကုဒ်ဝှက်ထားသော ပက်ကတ်ကို ဤ WAN အင်တာဖေ့စ်အတွက် ဂိတ်ဝေးလိပ်စာသို့ ပို့သည်-
msg="send to 2.2.2.2 via intf-WAN1"

ဒုတိယပက်ကတ်အတွက်၊ အရာအားလုံးသည် အလားတူဖြစ်နေသော်လည်း ၎င်းကို အခြားသော VPN ဥမင်လိုဏ်ခေါင်းသို့ ပေးပို့ပြီး မတူညီသော firewall port မှတဆင့် ထွက်ခွာသွားသည်-
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

ဖြေရှင်းချက်၏အားသာချက်များ

ယုံကြည်စိတ်ချရသော လုပ်ဆောင်နိုင်စွမ်းနှင့် အသုံးပြုရလွယ်ကူသော မျက်နှာပြင်။ SD-WAN မထွန်းကားမီ FortiOS တွင်ရရှိနိုင်သောအင်္ဂါရပ်အစုံကိုအပြည့်အဝထိန်းသိမ်းထားသည်။ ဆိုလိုသည်မှာ ကျွန်ုပ်တို့တွင် အသစ်တီထွင်ထားသော ဆော့ဖ်ဝဲမရှိသော်လည်း သက်သေပြထားသော firewall ရောင်းချသူထံမှ ရင့်ကျက်သောစနစ်တစ်ခုဖြစ်သည်။ သမားရိုးကျ ကွန်ရက်လုပ်ဆောင်ချက်များ၊ အဆင်ပြေပြီး လေ့လာရလွယ်ကူသော ဝဘ်အင်တာဖေ့စ်တစ်ခုဖြင့်။ SD-WAN ရောင်းချသူ မည်မျှရှိသည်၊ အဆုံးစက်ပစ္စည်းများတွင် အဝေးမှဝင်ရောက်နိုင်သော VPN လုပ်ဆောင်ချက်ရှိသည်ဟု ဆိုနိုင်သည် ။

လုံခြုံရေးအဆင့် 80 FortiGate သည် ထိပ်တန်း firewall ဖြေရှင်းချက်တစ်ခုဖြစ်သည်။ အင်တာနက်ပေါ်တွင် Firewall များတည်ဆောက်ခြင်းနှင့် စီမံခန့်ခွဲခြင်းဆိုင်ရာ အကြောင်းအရာများစွာရှိပြီး အလုပ်သမားဈေးကွက်တွင် ရောင်းချသူ၏ဖြေရှင်းချက်များကို ကျွမ်းကျင်ပြီးသော လုံခြုံရေးကျွမ်းကျင်သူများစွာရှိသည်။

SD-WAN လုပ်ဆောင်နိုင်စွမ်းအတွက် သုညစျေးနှုန်း။ FortiGate တွင် SD-WAN ကွန်ရက်ကိုတည်ဆောက်ခြင်းသည် SD-WAN လုပ်ဆောင်ချက်ကိုအကောင်အထည်ဖော်ရန် နောက်ထပ်လိုင်စင်များမလိုအပ်သောကြောင့် ၎င်းတွင်ပုံမှန် WAN ကွန်ရက်ကိုတည်ဆောက်ခြင်းနှင့်အတူတူပင်ဖြစ်ပါသည်။

ဝင်ပေါက် အတားအဆီး နည်းပါးသော ဈေးနှုန်း။ Fortigate တွင် မတူညီသော စွမ်းဆောင်ရည်အဆင့်များအတွက် စက်များကို ကောင်းမွန်စွာ အဆင့်သတ်မှတ်ထားပါသည်။ အသက်အငယ်ဆုံးနှင့် စျေးအသက်သာဆုံး မော်ဒယ်များသည် ဝန်ထမ်း ၃-၅ ယောက်ဖြင့် ရုံးခန်း သို့မဟုတ် အရောင်းပွိုင့်ကို တိုးချဲ့ရန်အတွက် အလွန်သင့်လျော်ပါသည်။ စျေးရောင်းသူတော်တော်များများဟာ စွမ်းဆောင်ရည်နိမ့်ပြီး တတ်နိုင်တဲ့မော်ဒယ်တွေ မရှိကြပါဘူး။

မြင့်မားသောစွမ်းဆောင်ရည်။ SD-WAN လုပ်ဆောင်နိုင်စွမ်းကို လျှော့ချခြင်းသည် အသွားအလာ ချိန်ညှိခြင်းအတွက် ကုမ္ပဏီအား SD-WAN လုပ်ဆောင်ချက်ကြောင့် Firewall တစ်ခုလုံး၏ စွမ်းဆောင်ရည်ကို မလျှော့ချနိုင်သောကြောင့် အထူးပြု SD-WAN ASIC ကို ထုတ်ပြန်နိုင်စေခဲ့သည်။

Fortinet စက်ပစ္စည်းများတွင် ရုံးခန်းတစ်ခုလုံးကို အကောင်အထည်ဖော်နိုင်မှု။ ၎င်းတို့သည် firewalls တစ်စုံ၊ ခလုတ်များ၊ Wi-Fi အသုံးပြုခွင့်အချက်များဖြစ်သည်။ ထိုသို့သောရုံးခန်းသည် စီမံခန့်ခွဲရန် လွယ်ကူပြီး အဆင်ပြေသည် - ခလုတ်များနှင့် access point များကို firewalls တွင် စာရင်းသွင်းပြီး ၎င်းတို့ထံမှ စီမံခန့်ခွဲပါသည်။ ဥပမာအားဖြင့်၊ ဤခလုတ်ကို ထိန်းချုပ်သည့် firewall interface မှ switch port သည် မည်သို့မည်ပုံဖြစ်သည်-

ချို့ယွင်းချက်၏တစ်ခုတည်းသောအချက်အဖြစ် ထိန်းချုပ်ကိရိယာများမရှိခြင်း။ ရောင်းချသူကိုယ်တိုင်က ၎င်းကို အာရုံစိုက်သည်၊ သို့သော် ၎င်းကို တစ်စိတ်တစ်ပိုင်းသာ အကျိုးအမြတ်ဟု ခေါ်ဆိုနိုင်သည်၊ အကြောင်းမှာ ထိန်းချုပ်ကိရိယာများရှိသော ရောင်းချသူများအတွက် ၎င်းတို့၏အမှားကို သည်းခံနိုင်မှုသည် စျေးမကြီးကြောင်း သေချာစေရန်အတွက်၊ အများစုမှာ virtualization ဝန်းကျင်ရှိ ကွန်ပျူတာအရင်းအမြစ်အနည်းငယ်၏စျေးနှုန်းဖြင့်သာ ဖြစ်လေ့ရှိသောကြောင့်ဖြစ်သည်။

ဘာရှာရမလဲ

Control Plane နှင့် Data Plane ခွဲခြားမှုမရှိပါ။. ဆိုလိုသည်မှာ ကွန်ရက်ကို ကိုယ်တိုင် သို့မဟုတ် ရိုးရာစီမံခန့်ခွဲမှု ကိရိယာများကို အသုံးပြု၍ ပြင်ဆင်သတ်မှတ်ရမည် - FortiManager။ ထိုသို့သော ခွဲခြားမှုကို အကောင်အထည်ဖော်သော ရောင်းချသူများအတွက်၊ ကွန်ရက်ကို သူ့ဘာသာသူ စုစည်းထားသည်။ အက်ဒမင်သည် ၎င်း၏ topology ကို ချိန်ညှိရန်သာ လိုအပ်ပြီး တစ်နေရာရာတွင် တစ်စုံတစ်ရာကို တားမြစ်ရန်သာ လိုအပ်ပေလိမ့်မည်။ သို့သော်လည်း FortiManager ၏ ဝှက်ဖဲသည် firewalls များကိုသာမက switches များနှင့် Wi-Fi access point များကိုပါ စီမံခန့်ခွဲနိုင်သည်မှာ ကွန်ရက်တစ်ခုလုံးနီးပါးဖြစ်သည်။

ထိန်းချုပ်နိုင်မှု အခြေအနေ တိုးလာသည်။ ကွန်ရက်ဖွဲ့စည်းပုံကို အလိုအလျောက်လုပ်ဆောင်ရန် သမားရိုးကျကိရိယာများကို အသုံးပြုထားသောကြောင့် SD-WAN မိတ်ဆက်ခြင်းဖြင့် ကွန်ရက်စီမံခန့်ခွဲနိုင်မှု အနည်းငယ်တိုးလာသည်။ အခြားတစ်ဖက်တွင်၊ ရောင်းချသူသည် ၎င်းကို firewall လည်ပတ်မှုစနစ်အတွက်သာ (၎င်းကိုချက်ချင်းအသုံးပြုနိုင်စေသည်) အတွက်သာ ထုတ်လုပ်သည်ဖြစ်သောကြောင့် လုပ်ဆောင်ချက်အသစ်များသည် ပိုမိုမြန်ဆန်လာပြီး စီမံခန့်ခွဲမှုစနစ်ကို လိုအပ်သော interface များဖြင့် ဖြည့်စွက်ပေးပါသည်။

လုပ်ဆောင်ချက်အချို့ကို အမိန့်ပေးစာကြောင်းမှ ရနိုင်သော်လည်း ဝဘ်အင်တာဖေ့စ်မှ မရရှိနိုင်ပါ။ တစ်ခုခုကို configure လုပ်ရန် command line သို့သွားခြင်းသည် တစ်ခါတစ်ရံတွင် အလွန်ကြောက်စရာမဟုတ်သော်လည်း တစ်စုံတစ်ယောက်သည် command line မှ တစ်စုံတစ်ဦးကို configure လုပ်ထားပြီးသော web interface တွင် မတွေ့ရခြင်းမှာ ကြောက်စရာကောင်းပါသည်။ သို့သော် ၎င်းသည် အများအားဖြင့် နောက်ဆုံးပေါ် အင်္ဂါရပ်များနှင့် သက်ဆိုင်ပြီး တစ်ဖြည်းဖြည်း၊ FortiOS အပ်ဒိတ်များဖြင့် ဝဘ်အင်တာဖေ့စ်၏ စွမ်းဆောင်ရည်များကို မြှင့်တင်ပေးပါသည်။

ဘယ်သူနဲ့ လိုက်ဖက်မလဲ။

အကိုင်းအခက်များစွာမရှိသူများအတွက်။ ကွန်ရက် ၈-၁၀ ရှိသည့် ကွန်ရက်တွင် ရှုပ်ထွေးသော ဗဟိုအစိတ်အပိုင်းများဖြင့် SD-WAN ဖြေရှင်းချက်ကို အကောင်အထည်ဖော်ခြင်းသည် ဖယောင်းတိုင်ကို ကုန်ကျမည်မဟုတ်ပါ - ဗဟိုအစိတ်အပိုင်းများကို လက်ခံကျင်းပရန်အတွက် SD-WAN စက်များအတွက် လိုင်စင်များနှင့် virtualization စနစ်ရင်းမြစ်များအတွက် ငွေသုံးစွဲရမည်ဖြစ်ပါသည်။ ကုမ္ပဏီငယ်တစ်ခုတွင် အများအားဖြင့် အခမဲ့ ကွန်ပျူတာဆိုင်ရာ အရင်းအမြစ်များကို ကန့်သတ်ထားသည်။ Fortinet ၏ကိစ္စတွင်၊ ရိုးရှင်းစွာ firewalls ကိုဝယ်ရန်လုံလောက်သည်။

အကိုင်းအခက်လေးတွေ အများကြီးရှိတဲ့သူတွေအတွက်။ ရောင်းချသူအများအပြားအတွက်၊ ဘဏ်ခွဲတစ်ခုလျှင် အနိမ့်ဆုံးဖြေရှင်းချက်စျေးနှုန်းသည် အလွန်မြင့်မားပြီး ဖောက်သည်၏လုပ်ငန်းကို အဆုံးစွန်သောအမြင်ဖြင့် စိတ်ဝင်စားဖွယ်မရှိပါ။ Fortinet သည် အလွန်ဆွဲဆောင်မှုရှိသော ဈေးနှုန်းများဖြင့် သေးငယ်သော စက်ကိရိယာများကို ပေးဆောင်သည်။

လှမ်းဖို့ အဆင်သင့်မဖြစ်သေးသူများအတွက်ပါ။ SD-WAN ကို controllers များနှင့်အတူ အကောင်အထည်ဖော်ခြင်း၊ တစ်ဦးတည်းပိုင်လမ်းကြောင်းသတ်မှတ်ခြင်းနှင့် ကွန်ရက်စီစဉ်ခြင်းနှင့် စီမံခန့်ခွဲခြင်းဆိုင်ရာ ချဉ်းကပ်မှုအသစ်သည် အချို့သောဖောက်သည်များအတွက် ကြီးမားသောခြေလှမ်းဖြစ်နိုင်သည်။ ဟုတ်ပါသည်၊ ထိုသို့သော အကောင်အထည်ဖော်မှုသည် ဆက်သွယ်ရေးလမ်းကြောင်းများအသုံးပြုမှုနှင့် စီမံခန့်ခွဲသူများ၏လုပ်ငန်းကို အကောင်းဆုံးဖြစ်အောင် ကူညီပေးမည်ဖြစ်ပြီး၊ သို့သော် ဦးစွာသင်သည် အသစ်အဆန်းများစွာကို လေ့လာသင်ယူရမည်ဖြစ်သည်။ ပါရာဒိုင်းအပြောင်းအရွှေ့အတွက် အဆင်သင့်မဖြစ်သေးသော်လည်း ၎င်းတို့၏ ဆက်သွယ်ရေးလမ်းကြောင်းများမှ ပိုမိုညှစ်ထုတ်လိုသူများအတွက် Fortinet မှ ဖြေရှင်းချက်သည် မှန်ကန်ပါသည်။

source: www.habr.com