SD-WAN मार्फत हामीलाई आउन थालेका प्रश्नहरूको संख्याको आधारमा, प्रविधिले रूसमा राम्ररी जरा लिन थालेको छ। विक्रेताहरू, स्वाभाविक रूपमा, सुतिरहेका छैनन् र तिनीहरूका अवधारणाहरू प्रस्ताव गर्छन्, र केही साहसी अग्रगामीहरूले तिनीहरूलाई पहिले नै तिनीहरूको नेटवर्कमा लागू गर्दैछन्।
हामी लगभग सबै विक्रेताहरूसँग काम गर्छौं, र हाम्रो प्रयोगशालामा धेरै वर्षहरूमा मैले सफ्टवेयर-परिभाषित समाधानहरूको प्रत्येक प्रमुख विकासकर्ताको वास्तुकलामा जान व्यवस्थित गरें। Fortinet बाट SD-WAN यहाँ अलि टाढा खडा छ, जसले फायरवाल सफ्टवेयरमा सञ्चार च्यानलहरू बीच ट्राफिक सन्तुलन गर्ने कार्यक्षमता निर्माण गर्यो। समाधान बरु लोकतान्त्रिक छ, त्यसैले यो सामान्यतया कम्पनीहरु द्वारा विचार गरिन्छ जुन अझै विश्वव्यापी परिवर्तनहरु को लागी तयार छैन, तर आफ्नो संचार च्यानलहरु लाई अधिक प्रभावकारी रुपमा प्रयोग गर्न चाहन्छ।
यस लेखमा म तपाईंलाई फोर्टिनेटबाट SD-WAN सँग कसरी कन्फिगर गर्ने र काम गर्ने भनेर बताउन चाहन्छु, यो समाधान कसको लागि उपयुक्त छ र तपाईंले यहाँ सामना गर्न सक्ने कस्ता समस्याहरू छन्।
SD-WAN बजारमा सबैभन्दा प्रख्यात खेलाडीहरूलाई दुई प्रकारमा वर्गीकृत गर्न सकिन्छ:
1. सुरुदेखि नै SD-WAN समाधानहरू सिर्जना गर्ने स्टार्टअपहरू। यी मध्ये सबैभन्दा सफल ठूला कम्पनीहरू द्वारा किने पछि विकासको लागि ठूलो प्रोत्साहन प्राप्त गर्दछ - यो सिस्को/विप्टेला, VMWare/VeloCloud, Nuage/Nokia को कथा हो।
2. SD-WAN समाधानहरू सिर्जना गर्ने ठूला नेटवर्क विक्रेताहरू, तिनीहरूको परम्परागत राउटरहरूको प्रोग्रामेबिलिटी र व्यवस्थापनको विकास गर्दै - यो जुनिपर, Huawei को कथा हो।
Fortinet ले आफ्नो बाटो खोज्न सफल भयो। फायरवाल सफ्टवेयरमा निर्मित प्रकार्यता थियो जसले तिनीहरूको इन्टरफेसहरूलाई भर्चुअल च्यानलहरूमा संयोजन गर्न र पारम्परिक राउटिङको तुलनामा जटिल एल्गोरिदमहरू प्रयोग गरेर तिनीहरू बीचको भारलाई सन्तुलन गर्न सम्भव बनायो। यो कार्यक्षमता SD-WAN भनिन्थ्यो। के फोर्टिनेटलाई SD-WAN भनिन्छ? बजारले बिस्तारै बुझिरहेको छ कि सफ्टवेयर-परिभाषित भनेको डेटा प्लेन, समर्पित नियन्त्रकहरू, र अर्केस्ट्रेटरहरूबाट नियन्त्रण विमानलाई अलग गर्नु हो। Fortinet सँग त्यस्तो केही छैन। केन्द्रीकृत व्यवस्थापन वैकल्पिक छ र परम्परागत Fortimanager उपकरण मार्फत प्रस्ताव गरिएको छ। तर मेरो विचारमा, तपाईंले अमूर्त सत्य खोज्नु हुँदैन र सर्तहरूको बारेमा बहस गर्न समय बर्बाद गर्नु हुँदैन। वास्तविक संसारमा, प्रत्येक दृष्टिकोणको यसको फाइदा र बेफाइदाहरू छन्। सबै भन्दा राम्रो तरिका तिनीहरूलाई बुझ्न र कार्यहरू अनुरूप समाधान छनोट गर्न सक्षम हुनु हो।
फोर्टिनेटबाट SD-WAN कस्तो देखिन्छ र यसले के गर्न सक्छ म तपाईंलाई स्क्रिनशटहरू हातमा राखेर बताउन प्रयास गर्नेछु।
यो सबै कसरी काम गर्दछ
मानौं तपाईंसँग दुईवटा शाखाहरू दुई डेटा च्यानलहरूद्वारा जोडिएका छन्। यी डाटा लिङ्कहरू एक समूहमा जोडिएका छन्, जसरी नियमित इथरनेट इन्टरफेसहरू LACP-Port- च्यानलमा जोडिन्छन्। पुरानो-टाइमरहरूले पीपीपी मल्टिलिङ्कलाई सम्झनेछन् - एक उपयुक्त समानता पनि। च्यानलहरू भौतिक पोर्टहरू, VLAN SVI, साथै VPN वा GRE टनेलहरू हुन सक्छन्।
VPN वा GRE सामान्यतया इन्टरनेटमा शाखा स्थानीय नेटवर्कहरू जडान गर्दा प्रयोग गरिन्छ। र भौतिक पोर्टहरू - यदि त्यहाँ साइटहरू बीच L2 जडानहरू छन्, वा समर्पित MPLS/VPN मा जडान गर्दा, यदि हामी ओभरले र इन्क्रिप्शन बिना जडानसँग सन्तुष्ट छौं भने। अर्को परिदृश्य जसमा भौतिक पोर्टहरू SD-WAN समूहमा प्रयोग गरिन्छ प्रयोगकर्ताहरूको इन्टरनेटमा स्थानीय पहुँचलाई सन्तुलनमा राख्दैछ।
हाम्रो स्ट्यान्डमा दुई "सञ्चार अपरेटरहरू" मार्फत सञ्चालन हुने चार फायरवाल र दुई VPN सुरुङहरू छन्। रेखाचित्र यस्तो देखिन्छ:
VPN टनेलहरू इन्टरफेस मोडमा कन्फिगर गरिएका छन् ताकि तिनीहरू P2P इन्टरफेसमा IP ठेगानाहरू भएका यन्त्रहरू बीचको पोइन्ट-टु-पोइन्ट जडानहरू जस्तै छन्, जुन निश्चित सुरुङ मार्फत सञ्चारले काम गरिरहेको छ भनी सुनिश्चित गर्न पिंग गर्न सकिन्छ। ट्राफिक ईन्क्रिप्टेड हुन र विपरित पक्षमा जानको लागि, यो टनेलमा रूट गर्न पर्याप्त छ। विकल्प भनेको सबनेटहरूको सूचीहरू प्रयोग गरेर एन्क्रिप्शनको लागि ट्राफिक चयन गर्नु हो, जसले कन्फिगरेसन थप जटिल हुँदै जाँदा प्रशासकलाई धेरै भ्रमित गर्छ। ठूलो नेटवर्कमा, तपाइँ VPN निर्माण गर्न ADVPN प्रविधि प्रयोग गर्न सक्नुहुन्छ; यो Cisco बाट DMVPN वा Huawei बाट DVPN को एनालग हो, जसले सजिलो सेटअपको लागि अनुमति दिन्छ।
दुबै छेउमा BGP राउटिङ भएका दुई यन्त्रहरूको लागि साइट-टु-साइट VPN कन्फिगरेसन
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
म पाठ फारममा कन्फिगर प्रदान गर्दैछु, किनकि, मेरो विचारमा, यो VPN लाई यस तरिकाले कन्फिगर गर्न अधिक सुविधाजनक छ। लगभग सबै सेटिङहरू दुवै पक्षमा समान छन्; पाठ फारममा तिनीहरू प्रतिलिपि-पेस्टको रूपमा बनाउन सकिन्छ। यदि तपाइँ वेब इन्टरफेसमा उही कुरा गर्नुहुन्छ भने, गल्ती गर्न सजिलो छ - कतै चेकमार्क बिर्सनुहोस्, गलत मान प्रविष्ट गर्नुहोस्।
हामीले बन्डलमा इन्टरफेसहरू थपेपछि
सबै मार्गहरू र सुरक्षा नीतिहरूले यसलाई सन्दर्भ गर्न सक्छन्, र यसमा समावेश इन्टरफेसहरूमा होइन। न्यूनतममा, तपाईंले आन्तरिक नेटवर्कहरूबाट SD-WAN मा ट्राफिकलाई अनुमति दिनुपर्छ। तपाईंले तिनीहरूका लागि नियमहरू सिर्जना गर्दा, तपाईंले IPS, एन्टिभाइरस र HTTPS प्रकटीकरण जस्ता सुरक्षात्मक उपायहरू लागू गर्न सक्नुहुन्छ।
बन्डलका लागि SD-WAN नियमहरू कन्फिगर गरिएका छन्। यी नियमहरू हुन् जसले विशिष्ट ट्राफिकको लागि सन्तुलन एल्गोरिथ्म परिभाषित गर्दछ। तिनीहरू नीति-आधारित राउटिङमा राउटिंग नीतिहरू जस्तै छन्, केवल नीति अन्तर्गत पर्ने ट्राफिकको परिणामको रूपमा, यो स्थापना गरिएको अर्को-हप वा सामान्य बहिर्गमन इन्टरफेस होइन, तर इन्टरफेसहरू SD-WAN बन्डल प्लसमा थपिएका छन्। यी इन्टरफेसहरू बीच ट्राफिक सन्तुलन एल्गोरिथ्म।
L3-L4 जानकारी, मान्यता प्राप्त अनुप्रयोगहरू, इन्टरनेट सेवाहरू (URL र IP), साथै वर्कस्टेशनहरू र ल्यापटपहरूको मान्यता प्राप्त प्रयोगकर्ताहरूद्वारा यातायातलाई सामान्य प्रवाहबाट अलग गर्न सकिन्छ। यस पछि, निम्न मध्ये एउटा सन्तुलन एल्गोरिदम आवंटित ट्राफिकमा तोक्न सकिन्छ:
इन्टरफेस प्राथमिकता सूचीमा, यस प्रकारको ट्राफिक सेवा गर्ने बन्डलमा पहिले नै थपिएका ती इन्टरफेसहरू चयन गरिएका छन्। सबै इन्टरफेसहरू थपेर, तपाईले प्रयोग गर्ने च्यानलहरू, भन्नुहोस्, इमेल, यदि तपाइँ यसको साथ उच्च SLA संग महँगो च्यानलहरू बोझ गर्न चाहनुहुन्न भने, तपाइँ ठ्याक्कै सीमित गर्न सक्नुहुन्छ। FortiOS 6.4.1 मा, SD-WAN बन्डलमा जोडिएका इन्टरफेसहरूलाई जोनहरूमा समूहबद्ध गर्न सम्भव भयो, उदाहरणका लागि, टाढाका साइटहरूसँग सञ्चारको लागि एउटा क्षेत्र, र NAT प्रयोग गरेर स्थानीय इन्टरनेट पहुँचको लागि अर्को। हो, हो, नियमित इन्टरनेटमा जाने ट्राफिक पनि सन्तुलित हुन सक्छ।
एल्गोरिदम सन्तुलन बारे
कसरी फोर्टिगेट (फोर्टिनेटबाट फायरवाल) ले च्यानलहरू बीच ट्राफिक विभाजन गर्न सक्छ भन्ने सन्दर्भमा, त्यहाँ दुईवटा रोचक विकल्पहरू छन् जुन बजारमा धेरै सामान्य छैनन्:
न्यूनतम लागत (SLA) - यस समयमा SLA लाई सन्तुष्ट पार्ने सबै इन्टरफेसहरूबाट, कम तौल (लागत) भएको, प्रशासकद्वारा म्यानुअल रूपमा सेट गरिएको, चयन गरिएको छ; यो मोड "थोक" ट्राफिकको लागि उपयुक्त छ जस्तै ब्याकअप र फाइल स्थानान्तरण।
उत्कृष्ट गुणस्तर (SLA) - यो एल्गोरिथ्म, सामान्य ढिलाइ, जिटर र फोर्टिगेट प्याकेटहरूको हानिको अतिरिक्त, च्यानलहरूको गुणस्तर मूल्याङ्कन गर्न हालको च्यानल लोड पनि प्रयोग गर्न सक्छ; यो मोड संवेदनशील ट्राफिक जस्तै VoIP र भिडियो सम्मेलनको लागि उपयुक्त छ।
यी एल्गोरिदमहरूलाई संचार च्यानल प्रदर्शन मीटर - प्रदर्शन SLA सेटअप गर्न आवश्यक छ। यो मिटरले आवधिक रूपमा (अन्तर जाँच गर्नुहोस्) SLA को अनुपालनको बारेमा जानकारीको निगरानी गर्दछ: संचार च्यानलमा प्याकेट हराउने, विलम्बता र जिटर, र ती च्यानलहरूलाई "अस्वीकार" गर्न सक्छ जुन हाल गुणस्तरको थ्रेसहोल्डहरू पूरा गर्दैनन् - तिनीहरूले धेरै प्याकेटहरू गुमाउँदै छन् वा धेरै अनुभव गरिरहेका छन्। धेरै विलम्बता। थप रूपमा, मिटरले च्यानलको स्थिति निगरानी गर्दछ, र प्रतिक्रियाहरू दोहोर्याइएको हानि (निष्क्रिय हुनु अघि विफलता) को अवस्थामा अस्थायी रूपमा यसलाई बन्डलबाट हटाउन सक्छ। जब पुनर्स्थापना गरियो, धेरै लगातार प्रतिक्रियाहरू पछि (लिङ्क पुनर्स्थापना पछि), मिटरले स्वचालित रूपमा च्यानललाई बन्डलमा फर्काउनेछ, र डेटा फेरि यसको माध्यमबाट प्रसारित हुन सुरु हुनेछ।
यो "मीटर" सेटिङ जस्तो देखिन्छ:
वेब इन्टरफेसमा, ICMP-Echo-request, HTTP-GET र DNS अनुरोध परीक्षण प्रोटोकलको रूपमा उपलब्ध छन्। कमाण्ड लाइनमा अलि बढी विकल्पहरू छन्: TCP-echo र UDP-echo विकल्पहरू उपलब्ध छन्, साथै एक विशेष गुणस्तर मापन प्रोटोकल - TWAMP।
मापन परिणामहरू वेब इन्टरफेसमा पनि देख्न सकिन्छ:
र आदेश रेखामा:
समस्या निवारण
यदि तपाईंले नियम सिर्जना गर्नुभयो भने, तर सबै कुराले अपेक्षा गरेअनुसार काम गर्दैन, तपाईंले SD-WAN नियमहरूको सूचीमा हिट गणना मान हेर्नुपर्छ। यसले देखाउनेछ कि ट्राफिक यो नियममा पर्छ कि छैन:
मिटरको सेटिङ्हरू पृष्ठमा, तपाईंले समयसँगै च्यानल प्यारामिटरहरूमा परिवर्तन देख्न सक्नुहुन्छ। बिन्दु भएको रेखाले प्यारामिटरको थ्रेसहोल्ड मानलाई संकेत गर्छ
वेब इन्टरफेसमा तपाईले देख्न सक्नुहुन्छ कि कसरी ट्राफिक पठाइएको/प्राप्त डाटाको मात्रा र सत्रहरूको संख्याद्वारा वितरित हुन्छ:
यी सबैको अतिरिक्त, अधिकतम विवरणको साथ प्याकेटहरूको मार्ग ट्र्याक गर्ने उत्कृष्ट अवसर छ। वास्तविक नेटवर्कमा काम गर्दा, यन्त्र कन्फिगरेसनले धेरै राउटिंग नीतिहरू, फायरवालिङ, र SD-WAN पोर्टहरूमा ट्राफिक वितरण जम्मा गर्छ। यी सबैले एकअर्कासँग जटिल तरिकाले अन्तरक्रिया गर्दछ, र यद्यपि विक्रेताले प्याकेट प्रशोधन एल्गोरिदमहरूको विस्तृत ब्लक रेखाचित्रहरू प्रदान गर्दछ, सिद्धान्तहरू निर्माण गर्न र परीक्षण गर्न सक्षम नहुनु, तर ट्राफिक वास्तवमा कहाँ जान्छ भनेर हेर्नको लागि यो धेरै महत्त्वपूर्ण छ।
उदाहरणका लागि, निम्न आदेशहरूको सेट
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
तपाईंलाई 10.200.64.15 को स्रोत ठेगाना र 10.1.7.2 को गन्तव्य ठेगानाको साथ दुई प्याकेटहरू ट्र्याक गर्न अनुमति दिन्छ।
हामी 10.7.1.2 10.200.64.15 बाट दुई पटक पिंग गर्छौं र कन्सोलमा आउटपुट हेर्नुहोस्।
पहिलो प्याकेज:
दोस्रो प्याकेज:
यहाँ फायरवाल द्वारा प्राप्त पहिलो प्याकेट छ:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
उनको लागि नयाँ सत्र सिर्जना गरिएको छ:
msg="allocate a new session-0006a627"
र रूटिङ नीति सेटिङहरूमा एक मिल्दो फेला पर्यो
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
यो बाहिर जान्छ कि प्याकेट VPN सुरुङ मध्ये एक पठाउन आवश्यक छ:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
फायरवाल नीतिहरूमा निम्न अनुमति दिने नियम पत्ता लगाइएको छ:
msg="Allowed by Policy-3:"
प्याकेट गुप्तिकरण गरी VPN सुरुङमा पठाइन्छ:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
इन्क्रिप्टेड प्याकेट यस WAN इन्टरफेसको लागि गेटवे ठेगानामा पठाइन्छ:
msg="send to 2.2.2.2 via intf-WAN1"
दोस्रो प्याकेटको लागि, सबै कुरा त्यस्तै हुन्छ, तर यो अर्को VPN सुरुङमा पठाइन्छ र फरक फायरवाल पोर्ट मार्फत छोडिन्छ:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
समाधानको फाइदाहरू
भरपर्दो कार्यक्षमता र प्रयोगकर्ता-अनुकूल इन्टरफेस। SD-WAN को आगमन अघि FortiOS मा उपलब्ध भएको सुविधा सेट पूर्ण रूपमा सुरक्षित गरिएको छ। त्यो हो, हामीसँग नयाँ विकसित सफ्टवेयर छैन, तर प्रमाणित फायरवाल विक्रेताबाट परिपक्व प्रणाली। नेटवर्क प्रकार्यहरूको परम्परागत सेटको साथ, एक सुविधाजनक र सिक्न-गर्न-सजिलो वेब इन्टरफेस। कतिवटा SD-WAN विक्रेताहरू छन्, भन्नुहोस्, अन्तिम यन्त्रहरूमा रिमोट-एक्सेस VPN कार्यक्षमता छ?
सुरक्षा स्तर 80। FortiGate शीर्ष फायरवाल समाधान मध्ये एक हो। फायरवालहरू सेटअप र व्यवस्थापन गर्ने बारे इन्टरनेटमा धेरै सामग्रीहरू छन्, र श्रम बजारमा त्यहाँ धेरै सुरक्षा विशेषज्ञहरू छन् जसले विक्रेताको समाधानहरूमा महारत हासिल गरिसकेका छन्।
SD-WAN कार्यक्षमताको लागि शून्य मूल्य। FortiGate मा SD-WAN सञ्जाल निर्माण गर्दा यसमा नियमित WAN सञ्जाल निर्माण गर्दा खर्च हुन्छ, किनभने SD-WAN कार्यक्षमता लागू गर्न कुनै अतिरिक्त इजाजतपत्र आवश्यक पर्दैन।
कम प्रवेश बाधा मूल्य। फोर्टिगेटसँग विभिन्न प्रदर्शन स्तरहरूको लागि उपकरणहरूको राम्रो स्तरीकरण छ। सबैभन्दा कान्छो र सबैभन्दा सस्तो मोडेलहरू 3-5 कर्मचारीहरूद्वारा कार्यालय वा बिक्रीको बिन्दु विस्तार गर्नको लागि एकदम उपयुक्त छन्। धेरै विक्रेताहरूसँग त्यस्ता कम प्रदर्शन र किफायती मोडेलहरू छैनन्।
उच्च प्रदर्शन। ट्राफिक सन्तुलनमा SD-WAN कार्यक्षमता घटाएर कम्पनीलाई एक विशेष SD-WAN ASIC जारी गर्न अनुमति दियो, जसको लागि SD-WAN सञ्चालनले समग्र रूपमा फायरवालको कार्यसम्पादनलाई कम गर्दैन।
Fortinet उपकरणमा सम्पूर्ण कार्यालय कार्यान्वयन गर्ने क्षमता। यी फायरवालहरू, स्विचहरू, Wi-Fi पहुँच बिन्दुहरूको एक जोडी हुन्। यस्तो कार्यालय व्यवस्थापन गर्न सजिलो र सुविधाजनक छ - स्विचहरू र पहुँच बिन्दुहरू फायरवालहरूमा दर्ता हुन्छन् र तिनीहरूबाट व्यवस्थित हुन्छन्। उदाहरणको लागि, यो स्विच पोर्ट फायरवाल इन्टरफेसबाट जस्तो देखिन सक्छ जुन यो स्विच नियन्त्रण गर्दछ:
विफलताको एकल बिन्दुको रूपमा नियन्त्रकहरूको अभाव। विक्रेता आफैं यसमा फोकस गर्दछ, तर यसलाई केवल अंशमा फाइदा भन्न सकिन्छ, किनकि ती विक्रेताहरू जोसँग नियन्त्रकहरू छन्, उनीहरूको गल्ती सहिष्णुता सुनिश्चित गर्न सस्तो छ, प्रायः भर्चुअलाइजेशन वातावरणमा थोरै मात्रामा कम्प्युटिङ स्रोतहरूको मूल्यमा।
के खोज्नु पर्ने
नियन्त्रण विमान र डाटा प्लेन बीच कुनै विभाजन छैन। यसको मतलब यो हो कि सञ्जाल या त म्यानुअल रूपमा वा पहिले नै उपलब्ध परम्परागत व्यवस्थापन उपकरणहरू प्रयोग गरी कन्फिगर गरिनुपर्छ - FortiManager। विक्रेताहरूको लागि जसले यस्तो विभाजन लागू गरेको छ, सञ्जाल आफैं भेला हुन्छ। प्रशासकले मात्र यसको टोपोलोजी समायोजन गर्न आवश्यक हुन सक्छ, कतै केहि निषेध गर्न, अरु केहि छैन। यद्यपि, FortiManager को ट्रम्प कार्ड यो हो कि यसले फायरवालहरू मात्र होइन, तर स्विचहरू र Wi-Fi पहुँच बिन्दुहरू पनि व्यवस्थापन गर्न सक्छ, अर्थात्, लगभग सम्पूर्ण नेटवर्क।
नियन्त्रण क्षमतामा सशर्त वृद्धि। परम्परागत उपकरणहरू नेटवर्क कन्फिगरेसन स्वचालित गर्न प्रयोग गरिन्छ भन्ने तथ्यको कारणले गर्दा, SD-WAN को परिचयको साथ नेटवर्क व्यवस्थापन क्षमता थोरै बढ्छ। अर्कोतर्फ, नयाँ कार्यक्षमता छिटो उपलब्ध हुन्छ, किनकि विक्रेताले यसलाई फायरवाल अपरेटिङ सिस्टमको लागि मात्र रिलीज गर्छ (जसले तुरुन्तै यसलाई प्रयोग गर्न सम्भव बनाउँछ), र त्यसपछि मात्र आवश्यक इन्टरफेसहरूसँग व्यवस्थापन प्रणालीको पूर्ति गर्दछ।
केही कार्यक्षमता कमाण्ड लाइनबाट उपलब्ध हुन सक्छ, तर वेब इन्टरफेसबाट उपलब्ध छैन। कहिलेकाहीँ केहि कन्फिगर गर्न कमाण्ड लाइनमा जान डरलाग्दो छैन, तर वेब इन्टरफेसमा नदेख्नु डरलाग्दो छ कि कसैले पहिले नै कमाण्ड लाइनबाट केहि कन्फिगर गरेको छ। तर यो सामान्यतया नयाँ सुविधाहरूमा लागू हुन्छ र बिस्तारै, FortiOS अद्यावधिकहरूसँग, वेब इन्टरफेसको क्षमताहरू सुधार हुन्छन्।
कसलाई मिल्छ
धेरै शाखाहरू नभएकाहरूको लागि। 8-10 शाखाहरूको नेटवर्कमा जटिल केन्द्रीय कम्पोनेन्टहरूसँग SD-WAN समाधान लागू गर्दा मैनबत्ती खर्च नहुन सक्छ - तपाईंले SD-WAN उपकरणहरू र भर्चुअलाइजेशन प्रणाली स्रोतहरूको लागि केन्द्रीय कम्पोनेन्टहरू होस्ट गर्न इजाजतपत्रमा पैसा खर्च गर्नुपर्नेछ। एउटा सानो कम्पनीमा सामान्यतया नि:शुल्क कम्प्युटिङ स्रोतहरू सीमित हुन्छन्। Fortinet को मामला मा, यो केवल फायरवाल किन्न पर्याप्त छ।
धेरै साना शाखाहरू भएकाहरूको लागि। धेरै विक्रेताहरूको लागि, प्रति शाखा न्यूनतम समाधान मूल्य धेरै उच्च छ र अन्तिम ग्राहकको व्यवसायको दृष्टिकोणबाट रोचक नहुन सक्छ। Fortinet ले धेरै आकर्षक मूल्यहरूमा साना उपकरणहरू प्रदान गर्दछ।
तिनीहरूका लागि जो अझै धेरै टाढा जान तयार छैनन्। नियन्त्रकहरू, स्वामित्व राउटिङ्, र नेटवर्क योजना र व्यवस्थापनको लागि नयाँ दृष्टिकोणको साथ SD-WAN लागू गर्नु केही ग्राहकहरूको लागि धेरै ठूलो कदम हुन सक्छ। हो, यस्तो कार्यान्वयनले अन्ततः सञ्चार च्यानलहरूको प्रयोग र प्रशासकहरूको कामलाई अनुकूलन गर्न मद्दत गर्नेछ, तर पहिले तपाईंले धेरै नयाँ कुराहरू सिक्नुपर्छ। तिनीहरूका लागि जो अझै प्रतिमान परिवर्तनको लागि तयार छैनन्, तर तिनीहरूको सञ्चार च्यानलहरूबाट थप निचोड गर्न चाहन्छन्, फोर्टिनेटबाट समाधान एकदम सही छ।
स्रोत: www.habr.com