سوالن جي تعداد جي حساب سان جيڪي SD-WAN ذريعي اسان وٽ اچڻ شروع ٿيا، ٽيڪنالاجي روس ۾ مڪمل طور تي جڙڻ شروع ڪيو آهي. وينڊرز، قدرتي طور تي، سمهڻ وارا نه آهن ۽ انهن جا تصور پيش ڪن ٿا، ۽ ڪجهه بهادر اڳوڻن اڳ ۾ ئي انهن کي انهن جي نيٽ ورڪ تي لاڳو ڪري رهيا آهن.
اسان تقريبن سڀني وينڊرز سان ڪم ڪريون ٿا، ۽ ڪيترن ئي سالن کان اسان جي ليبارٽري ۾ مون کي منظم ڪيو ويو ته هر وڏي ڊولپر جي فن تعمير ۾ سافٽ ويئر بيان ڪيل حل. Fortinet کان SD-WAN هتي ٿورڙو ڌار بيٺو آهي، جيڪو صرف ڪميونيڪيشن چينلز جي وچ ۾ ٽرئفڪ کي بيلنس ڪرڻ جي ڪارڪردگي کي فائر وال سافٽ ويئر ۾ ٺاهي ٿو. حل بلڪه جمهوري آهي، تنهن ڪري اهو عام طور تي ڪمپنين پاران سمجهيو ويندو آهي جيڪي اڃا تائين عالمي تبديلين لاء تيار نه آهن، پر انهن جي مواصلاتي چينلن کي وڌيڪ مؤثر طريقي سان استعمال ڪرڻ چاهيندا آهن.
هن آرٽيڪل ۾ آئون توهان کي ٻڌائڻ چاهيان ٿو ته SD-WAN سان Fortinet کان ڪيئن ترتيب ۽ ڪم ڪجي، جنهن لاءِ هي حل موزون آهي ۽ توهان کي هتي ڪهڙا نقصان ٿي سگهن ٿا.
SD-WAN مارڪيٽ ۾ سڀ کان وڌيڪ نمايان رانديگرن کي ٻن قسمن مان ھڪڙي ۾ ورهائي سگھجي ٿو:
1. شروع ٿيندڙ جيڪي SD-WAN حل ٺاهيا آهن شروع کان. انهن مان سڀ کان وڌيڪ ڪامياب وڏين ڪمپنين طرفان خريد ڪرڻ کان پوءِ ترقي لاءِ هڪ وڏو محرڪ حاصل ڪن ٿا - هي آهي سسڪو/ويپٽيلا، وي ايم ويئر/ويلو ڪلائوڊ، نيوج/نوڪيا جي ڪهاڻي
2. وڏا نيٽ ورڪ وينڊرز جن SD-WAN حل ٺاهيا آهن، انهن جي روايتي روٽرز جي پروگرام ۽ انتظام جي صلاحيت کي ترقي ڪري رهيا آهن - هي آهي Juniper، Huawei جي ڪهاڻي
Fortinet ان جو رستو ڳولڻ ۾ ڪامياب ٿي ويو. فائر وال سافٽ ويئر ۾ بلٽ ان ڪارڪردگي هئي جنهن اهو ممڪن ڪيو ته انهن جي انٽرفيس کي ورچوئل چينلز ۾ گڏ ڪرڻ ۽ انهن جي وچ ۾ لوڊ کي متوازن ڪرڻ لاءِ پيچيده الگورتھم استعمال ڪندي روايتي روٽنگ جي مقابلي ۾. هن ڪارڪردگي کي SD-WAN سڏيو ويندو هو. ڇا Fortinet کي SD-WAN سڏيو وڃي ٿو؟ مارڪيٽ بتدريج سمجھي رهي آهي ته سافٽ ويئر-ڊفائنڊ جو مطلب آهي ڪنٽرول جهاز کي ڊيٽا پلين کان ڌار ڪرڻ، وقف ڪنٽرولرز، ۽ آرڪيسٽرٽر. Fortinet اهڙي ڪا به شيء ناهي. مرڪزي انتظام اختياري آهي ۽ روايتي Fortimanager ٽول ذريعي پيش ڪيو ويو آهي. پر منهنجي خيال ۾، توهان کي خلاصو سچ نه ڳولڻ گهرجي ۽ شرطن بابت بحث ڪندي وقت ضايع ڪرڻ گهرجي. حقيقي دنيا ۾، هر طريقي جا پنهنجا فائدا ۽ نقصان آهن. ٻاهر نڪرڻ جو بهترين طريقو اهو آهي ته انهن کي سمجهڻ ۽ حل چونڊڻ جي قابل ٿي وڃي جيڪي ڪمن سان ملن ٿا.
مان توهان کي هٿ ۾ اسڪرين شاٽ سان ٻڌائڻ جي ڪوشش ڪندس ته SD-WAN Fortinet کان ڇا ٿو لڳي ۽ اهو ڇا ڪري سگهي ٿو.
ڪيئن سڀڪنھن شيء کي ڪم
اچو ته فرض ڪريو توهان وٽ ٻه شاخون آهن ٻن ڊيٽا چينلن سان ڳنڍيل آهن. اهي ڊيٽا لنڪس هڪ گروپ ۾ گڏ ڪيا ويا آهن، ساڳي طرح ڪيئن باقاعده Ethernet انٽرفيس کي LACP-Port-Channel ۾ گڏ ڪيو ويو آهي. پراڻن وقت وارا ياد ڪندا PPP ملٽي لنڪ - پڻ هڪ مناسب قياس. چينل ٿي سگھي ٿو جسماني بندرگاھون، VLAN SVI، گڏوگڏ VPN يا GRE سرنگون.
VPN يا GRE عام طور تي استعمال ٿيندا آهن جڏهن برانچ مقامي نيٽ ورڪن کي انٽرنيٽ تي ڳنڍيندا آهن. ۽ جسماني بندرگاهن - جيڪڏهن سائيٽن جي وچ ۾ L2 ڪنيڪشن آهن، يا جڏهن هڪ وقف MPLS/VPN تي ڳنڍي رهيا آهن، جيڪڏهن اسان اوورلي ۽ انڪرپشن کان سواءِ ڪنيڪشن سان مطمئن آهيون. هڪ ٻيو منظر جنهن ۾ جسماني بندرگاهن کي SD-WAN گروپ ۾ استعمال ڪيو ويندو آهي انٽرنيٽ تائين صارفين جي مقامي رسائي کي توازن ڪري رهيو آهي.
اسان جي اسٽينڊ تي چار فائر والز ۽ ٻه وي پي اين سرنگون آھن جيڪي ٻن ”ڪميونيڪيشن آپريٽرز“ ذريعي ڪم ڪن ٿيون. خاڪو هن طرح نظر اچي ٿو:
VPN سرنگون انٽرفيس موڊ ۾ ترتيب ڏنل آهن ته جيئن اهي P2P انٽرفيس تي IP پتي سان ڊوائيسز جي وچ ۾ پوائنٽ-ٽو-پوائنٽ ڪنيڪشن وانگر هجن، جن کي پڪ ڪري سگهجي ٿو ته ڪنهن خاص سرنگ ذريعي ڪميونيڪيشن ڪم ڪري رهي آهي. ٽريفڪ کي انڪرپٽ ٿيڻ ۽ سامهون واري پاسي وڃڻ لاءِ، ان کي سرنگ ۾ رستو ڏيڻ ڪافي آهي. متبادل اهو آهي ته ٽريفڪ کي چونڊيو انڪريپشن لاءِ ذيلي نيٽ جي لسٽن کي استعمال ڪندي، جيڪو منتظم کي تمام گهڻو پريشان ڪري ٿو جيئن ترتيب وڌيڪ پيچيده ٿي وڃي. هڪ وڏي نيٽ ورڪ ۾، توهان هڪ VPN ٺاهڻ لاءِ ADVPN ٽيڪنالاجي استعمال ڪري سگهو ٿا؛ هي Cisco کان DMVPN يا Huawei کان DVPN جو هڪ اينالاگ آهي، جيڪو آسان سيٽ اپ جي اجازت ڏئي ٿو.
سائيٽ-کان-سائيٽ VPN ترتيب ٻن ڊوائيسز لاءِ BGP روٽنگ ٻنهي طرفن سان
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
مان ترتيب ڏئي رهيو آهيان ٽيڪسٽ فارم ۾، ڇاڪاڻ ته، منهنجي خيال ۾، هن طريقي سان وي پي اين کي ترتيب ڏيڻ وڌيڪ آسان آهي. تقريبن سڀئي سيٽنگون ٻنهي پاسن تي ساڳيون آهن؛ ٽيڪسٽ فارم ۾ اهي ڪاپي پيسٽ طور ٺاهي سگھجن ٿيون. جيڪڏهن توهان ويب انٽرفيس ۾ ساڳيو ڪم ڪريو ٿا، اهو غلطي ڪرڻ آسان آهي - هڪ چيڪ مارڪ کي وساريو، غلط قيمت داخل ڪريو.
ان کان پوء اسان انٽرفيس کي بنڊ ۾ شامل ڪيو
سڀئي رستا ۽ سيڪيورٽي پاليسيون ان جو حوالو ڏئي سگھن ٿيون، ۽ نه ان ۾ شامل انٽرفيس ڏانهن. گهٽ ۾ گهٽ، توهان کي اندروني نيٽ ورڪن کان SD-WAN ڏانهن ٽرئفڪ جي اجازت ڏيڻ جي ضرورت آهي. جڏهن توهان انهن لاءِ ضابطا ٺاهيندا آهيو، توهان لاڳو ڪري سگهو ٿا حفاظتي اپاءَ جهڙوڪ IPS، اينٽي وائرس ۽ HTTPS ظاهر ڪرڻ.
SD-WAN ضابطا بنڈل لاءِ ترتيب ڏنل آھن. اهي ضابطا آهن جيڪي مخصوص ٽرئفڪ لاءِ بيلنسنگ الگورتھم کي بيان ڪن ٿا. اهي پاليسين تي ٻڌل روٽنگ ۾ روٽنگ پاليسين وانگر آهن، صرف ٽريفڪ پاليسي جي تحت اچڻ جي نتيجي ۾، اهو ايندڙ-هاپ يا معمولي ٻاهر نڪرڻ وارو انٽرفيس نه آهي جيڪو نصب ٿيل آهي، پر انٽرفيس شامل ڪيا ويا آهن SD-WAN بنڊل پلس ۾ انهن انٽرفيس جي وچ ۾ ٽرئفڪ بيلنسنگ الگورتھم.
ٽرئفڪ کي عام وهڪري کان L3-L4 ڄاڻ، تسليم ٿيل ايپليڪيشنن، انٽرنيٽ سروسز (URL ۽ IP)، ۽ گڏوگڏ ڪم اسٽيشنز ۽ ليپ ٽاپ جي سڃاتل استعمال ڪندڙن طرفان الڳ ڪري سگھجي ٿو. ان کان پوء، ھيٺ ڏنل بيلنسنگ الگورتھم مان ھڪڙو مختص ٿيل ٽرئفڪ کي تفويض ڪري سگھجي ٿو:
انٽرفيس جي ترجيحن جي لسٽ ۾، انھن انٽرفيس مان جيڪي اڳ ۾ ئي بنڊل ۾ شامل ڪيا ويا آھن جيڪي ھن قسم جي ٽرئفڪ جي خدمت ڪندا چونڊيا ويا آھن. سڀني انٽرفيس کي شامل ڪرڻ سان، توھان محدود ڪري سگھوٿا جيڪي چينل توھان استعمال ڪندا آھيو، چئو، اي ميل، جيڪڏھن توھان نٿا چاھيو ته قيمتي چينلز کي ان سان گڏ اعلي SLA سان. FortiOS 6.4.1 ۾، اهو ممڪن ٿيو ته گروپ انٽرفيسز کي SD-WAN بنڊل ۾ شامل ڪيو ويو زونن ۾، مثال طور، هڪ زون ريموٽ سائيٽن سان رابطي لاءِ، ۽ ٻيو NAT استعمال ڪندي مقامي انٽرنيٽ جي رسائي لاءِ. ها، ها، ٽرئفڪ جيڪو باقاعده انٽرنيٽ ڏانهن وڃي ٿو اهو پڻ متوازن ٿي سگهي ٿو.
بيلنسنگ الگورتھم بابت
انهي جي حوالي سان ڪيئن Fortigate (Fortinet کان هڪ فائر وال) چينلن جي وچ ۾ ٽرئفڪ کي ورهائي سگهي ٿو، اتي ٻه دلچسپ اختيار آهن جيڪي مارڪيٽ تي تمام عام نه آهن:
گھٽ ۾ گھٽ قيمت (SLA) - سڀني انٽرفيس مان جيڪي هن وقت SLA کي مطمئن ڪن ٿا، ھڪڙو گھٽ وزن (قيمت) سان، دستي طور تي منتظم طرفان مقرر ڪيل، چونڊيو ويو آھي؛ هي موڊ ”بلڪ“ ٽرئفڪ لاءِ موزون آهي جهڙوڪ بيڪ اپ ۽ فائل ٽرانسفر.
بهترين معيار (SLA) - هي الگورٿم، معمولي دير کان علاوه، فورٽيگيٽ پيڪٽس جي خرابي ۽ نقصان، چينلن جي معيار کي جانچڻ لاءِ موجوده چينل لوڊ پڻ استعمال ڪري سگھي ٿو؛ هي موڊ حساس ٽرئفڪ لاءِ موزون آهي جهڙوڪ VoIP ۽ وڊيو ڪانفرنس.
اهي الگورٿمس هڪ ڪميونيڪيشن چينل جي ڪارڪردگي ميٽر قائم ڪرڻ جي ضرورت آهي - ڪارڪردگي SLA. هي ميٽر وقتي طور تي (انٽرول چيڪ ڪريو) SLA جي تعميل بابت معلومات کي مانيٽر ڪري ٿو: ڪميونيڪيشن چينل ۾ پيڪٽ جو نقصان، ليٽيسي ۽ جٽ، ۽ انهن چينلن کي ”رد“ ڪري سگهي ٿو جيڪي في الحال معيار جي حدن کي پورا نه ٿا ڪن - اهي تمام گهڻا پيڪٽ وڃائي رهيا آهن يا تجربو پڻ ڪري رهيا آهن. گهڻي دير. ان کان علاوه، ميٽر چينل جي حيثيت کي مانيٽر ڪري ٿو، ۽ عارضي طور تي ان کي بنڊل مان هٽائي سگھي ٿو بار بار جوابن جي نقصان جي صورت ۾ (غير فعال ٿيڻ کان اڳ ناڪامي). جڏهن بحال ٿيو، ڪيترن ئي مسلسل جوابن کان پوء (بعد ۾ لنڪ بحال ڪريو)، ميٽر خودڪار طريقي سان چينل کي بنڊل ڏانهن موٽائي ڇڏيندو، ۽ ڊيٽا ٻيهر ان ذريعي منتقل ٿيڻ شروع ڪيو ويندو.
اھو آھي جيڪو "ميٽر" سيٽنگ ڏسڻ ۾ اچي ٿو:
ويب انٽرفيس ۾، ICMP-Echo-request، HTTP-GET ۽ DNS درخواست ٽيسٽ پروٽوڪول طور موجود آهن. ڪمانڊ لائن تي ڪجھ وڌيڪ آپشن آھن: TCP-echo ۽ UDP-echo آپشنز موجود آھن، گڏوگڏ ھڪ خاص معيار جي ماپي پروٽوڪول - TWAMP.
ماپ جا نتيجا پڻ ڏسي سگهجن ٿا ويب انٽرفيس ۾:
۽ حڪم لائن تي:
مشڪلاتون
جيڪڏھن توھان ھڪڙو قاعدو ٺاھيو، پر سڀ ڪجھ ڪم نٿو ڪري جيئن توقع ڪئي وڃي، توھان کي ڏسڻ گھرجي ھٽ ڳڻپ قدر SD-WAN ضابطن جي فهرست ۾. اهو ڏيکاريندو ته ڇا ٽريفڪ هن قاعدي ۾ اچي ٿو:
پاڻ ميٽر جي سيٽنگ واري صفحي تي، توهان وقت سان چينل جي پيٽرولن ۾ تبديلي ڏسي سگهو ٿا. ڊاٽ ٿيل لڪير پيراميٽر جي حد جي قيمت کي اشارو ڪري ٿو
ويب انٽرفيس ۾ توهان ڏسي سگهو ٿا ته ٽرئفڪ ڪيئن ورهايل ڊيٽا جي منتقلي/وصول ڪيل رقم ۽ سيشن جي تعداد سان:
ان کان علاوه، ھڪڙو بھترين موقعو آھي پيڪيٽس جي گذرڻ کي وڌ ۾ وڌ تفصيل سان ٽريڪ ڪرڻ جو. جڏهن هڪ حقيقي نيٽ ورڪ ۾ ڪم ڪري رهيو آهي، ڊوائيس جي جوڙجڪ ڪيترن ئي رستن جي پاليسين، فائر والنگ، ۽ SD-WAN بندرگاهن تي ٽرئفڪ جي ورڇ کي گڏ ڪري ٿي. هي سڀ هڪ ٻئي سان هڪ پيچيده طريقي سان رابطو ڪري ٿو، ۽ جيتوڻيڪ وينڊر پيڪيٽ پروسيسنگ الگورتھم جا تفصيلي بلاڪ ڊاگرام مهيا ڪري ٿو، اهو تمام ضروري آهي ته نظرياتي تعمير ۽ جانچ ڪرڻ جي قابل نه هجي، پر اهو ڏسڻ لاء ته ٽرئفڪ اصل ۾ ڪٿي وڃي ٿي.
مثال طور، ھيٺ ڏنل حڪمن جو سيٽ
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
توھان کي اجازت ڏئي ٿو ٻن پيٽرن کي ٽريڪ ڪرڻ جي ھڪڙي ماخذ پتي سان 10.200.64.15 ۽ ھڪڙي منزل جو پتو 10.1.7.2.
اسان 10.7.1.2 کي 10.200.64.15 کان ٻه ڀيرا پنگ ڪريون ٿا ۽ ڪنسول تي آئوٽ پٽ کي ڏسو.
پهريون پيڪيج:
ٻيو پيڪيج:
هتي فائر وال پاران حاصل ڪيل پهريون پيڪٽ آهي:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
هن لاء هڪ نئين سيشن ٺاهي وئي آهي:
msg="allocate a new session-0006a627"
۽ هڪ ميچ ملي ويو روٽنگ پاليسي سيٽنگن ۾
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
اهو ظاهر ٿئي ٿو ته پيڪٽ کي VPN سرنگن مان هڪ ڏانهن موڪلڻ جي ضرورت آهي:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
هيٺ ڏنل اجازت ڏيڻ وارو قاعدو فائر وال پاليسين ۾ معلوم ٿئي ٿو:
msg="Allowed by Policy-3:"
پيڪٽ انڪريپٽ ٿيل آهي ۽ VPN سرنگ ڏانهن موڪليو ويو آهي:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
انڪرپٽ ٿيل پيڪٽ ھن WAN انٽرفيس لاءِ گيٽ وي ايڊريس ڏانھن موڪليو ويو آھي:
msg="send to 2.2.2.2 via intf-WAN1"
ٻئين پيڪٽ لاءِ، سڀ ڪجھ ائين ئي ٿئي ٿو، پر اھو ھڪ ٻئي وي پي اين سرنگ ڏانھن موڪليو ويو آھي ۽ ھڪ مختلف فائر وال پورٽ ذريعي نڪري ٿو:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
حل جا فائدا
قابل اعتماد ڪارڪردگي ۽ صارف-دوست انٽرفيس. فيچر سيٽ جيڪو SD-WAN جي اچڻ کان اڳ FortiOS ۾ موجود هو مڪمل طور تي محفوظ ڪيو ويو آهي. اهو آهي، اسان وٽ نئون ترقي يافته سافٽ ويئر نه آهي، پر هڪ ثابت ٿيل فائر وال وينڊر کان هڪ بالغ سسٽم. نيٽ ورڪ ڪمن جي روايتي سيٽ سان، هڪ آسان ۽ سکڻ ۾ آسان ويب انٽرفيس. ڪيترا SD-WAN وينڊرز وٽ آهن، چئو، ريموٽ رسائي VPN ڪارڪردگي آخر ڊوائيسز تي؟
سيڪيورٽي سطح 80. FortiGate مٿين فائر وال حلن مان هڪ آهي. فائر والز کي ترتيب ڏيڻ ۽ ان کي منظم ڪرڻ تي انٽرنيٽ تي تمام گهڻو مواد موجود آهي، ۽ ليبر مارڪيٽ تي ڪيترائي سيڪيورٽي ماهر آهن جيڪي اڳ ۾ ئي وينڊر جي حلن ۾ مهارت حاصل ڪري چڪا آهن.
SD-WAN ڪارڪردگي لاء صفر قيمت. FortiGate تي هڪ SD-WAN نيٽ ورڪ ٺاهڻ جي قيمت ان تي باقاعده WAN نيٽ ورڪ ٺاهڻ جي برابر آهي، ڇاڪاڻ ته SD-WAN ڪارڪردگي کي لاڳو ڪرڻ لاء اضافي لائسنس جي ضرورت ناهي.
گھٽ داخلا رڪاوٽ قيمت. Fortigate مختلف ڪارڪردگي جي سطحن لاء ڊوائيسز جي سٺي گريڊيشن آهي. سڀ کان ننڍو ۽ سڀ کان سستا ماڊل، 3-5 ملازمن طرفان، آفيس يا وڪرو جي نقطي کي وڌائڻ لاء ڪافي مناسب آهن. گھڻن وينڊرز وٽ صرف اھڙيون گھٽ ڪارڪردگي ۽ سستي ماڊل نه آھن.
هاء ڪارڪردگي. ٽرئفڪ جي توازن لاءِ SD-WAN ڪارڪردگي کي گهٽائڻ ڪمپني کي هڪ خاص SD-WAN ASIC ڇڏڻ جي اجازت ڏني، جنهن جي مهرباني SD-WAN آپريشن مڪمل طور تي فائر وال جي ڪارڪردگي کي گهٽ نٿو ڪري.
Fortinet سامان تي پوري آفيس کي لاڳو ڪرڻ جي صلاحيت. اهي فائر والز، سوئچز، وائي فائي رسائي پوائنٽس جو هڪ جوڙو آهن. اهڙي آفيس کي منظم ڪرڻ آسان ۽ آسان آهي - سوئچز ۽ رسائي پوائنٽس فائر والز تي رجسٽر ٿيل آهن ۽ انهن مان منظم ٿيل آهن. مثال طور، اھو اھو آھي جيڪو ھڪڙو سوئچ بندرگاھ نظر اچي سگھي ٿو فائر وال انٽرفيس مان جيڪو ھن سوئچ کي سنڀاليندو آھي:
ناڪامي جي هڪ واحد نقطي طور ڪنٽرولرز جي کوٽ. وينڊر پاڻ هن تي ڌيان ڏئي ٿو، پر اهو صرف هڪ فائدي ۾ چئي سگهجي ٿو، ڇاڪاڻ ته انهن وينڊرز لاء جيڪي ڪنٽرولرز آهن، انهن جي غلطي رواداري کي يقيني بڻائڻ سستو آهي، اڪثر ڪري ورچوئلائيزيشن ماحول ۾ ڪمپيوٽنگ وسيلن جي ننڍڙي رقم جي قيمت تي.
ڇا ڳولهڻ
ڪنٽرول جهاز ۽ ڊيٽا جهاز جي وچ ۾ ڪابه جدائي ناهي. هن جو مطلب اهو آهي ته نيٽ ورڪ يا ته دستي طور تي ترتيب ڏيڻ گهرجي يا اڳ ۾ ئي موجود روايتي انتظامي اوزار استعمال ڪندي - FortiManager. وينڊرز لاء جيڪي اهڙي علحدگيء تي عمل ڪيا آهن، نيٽورڪ پاڻ کي گڏ ڪيو ويو آهي. منتظم کي شايد صرف ان جي ٽوپولوجي کي ترتيب ڏيڻ جي ضرورت آهي، ڪنهن به شيء کي منع ڪرڻ، وڌيڪ ڪجهه به نه. بهرحال، FortiManager جو ٽرمپ ڪارڊ اهو آهي ته اهو صرف نه صرف فائر والز کي منظم ڪري سگهي ٿو، پر سوئچز ۽ وائي فائي رسائي پوائنٽس، اهو آهي، تقريبا سڄي نيٽ ورڪ.
ڪنٽرول قابليت ۾ مشروط اضافو. انهي حقيقت جي ڪري ته روايتي اوزار نيٽ ورڪ جي ترتيب کي خودڪار ڪرڻ لاء استعمال ڪيا ويا آهن، SD-WAN جي تعارف سان نيٽ ورڪ جي انتظام جي صلاحيت ٿورو وڌي ٿي. ٻئي طرف، نئين ڪارڪردگي تيزيء سان دستياب ٿي ويندي آهي، ڇاڪاڻ ته وينڊر پهريون ڀيرو ان کي صرف فائر وال آپريٽنگ سسٽم لاء جاري ڪري ٿو (جيڪو فوري طور تي ان کي استعمال ڪرڻ ممڪن بڻائي ٿو)، ۽ صرف پوء ضروري انٽرفيس سان انتظامي نظام کي پورو ڪري ٿو.
ڪجھ ڪارڪردگي ڪمان لائن مان دستياب ٿي سگھي ٿي، پر ويب انٽرفيس مان دستياب نه آھي. ڪڏهن ڪڏهن اهو ايترو خوفناڪ ناهي ته ڪمانڊ لائن ۾ وڃڻ لاءِ ڪجهه ترتيب ڏيڻ لاءِ ، پر اهو خوفناڪ آهي ته ويب انٽرفيس ۾ نه ڏسي ته ڪو ماڻهو اڳ ۾ ئي ڪمانڊ لائن مان ڪجهه ترتيب ڏئي چڪو آهي. پر اهو عام طور تي جديد فيچرز تي لاڳو ٿئي ٿو ۽ آهستي آهستي، FortiOS اپڊيٽس سان، ويب انٽرفيس جون صلاحيتون بهتر ٿي ويون آهن.
ڪير سوٽ ڪندو
انهن لاءِ جن وٽ ڪيتريون شاخون نه آهن. 8-10 شاخن جي نيٽ ورڪ تي پيچيده مرڪزي حصن سان گڏ هڪ SD-WAN حل لاڳو ڪرڻ شايد شمع جي قيمت نه هجي - توهان کي SD-WAN ڊوائيسز لاءِ لائسنس ۽ مرڪزي حصن کي ميزباني ڪرڻ لاءِ ورچوئلائيزيشن سسٽم وسيلن تي پئسا خرچ ڪرڻا پوندا. هڪ ننڍڙي ڪمپني عام طور تي محدود مفت ڪمپيوٽنگ وسيلا آهن. Fortinet جي صورت ۾، اهو صرف فائر والز خريد ڪرڻ لاء ڪافي آهي.
انهن لاءِ جن وٽ تمام گهڻيون ننڍيون شاخون آهن. ڪيترن ئي وينڊرز لاءِ، في برانچ جي گھٽ ۾ گھٽ حل جي قيمت تمام گھڻي آھي ۽ ٿي سگھي ٿي ته آخري ڪسٽمر جي ڪاروبار جي نقطي نظر کان دلچسپ نه ھجي. Fortinet پيش ڪري ٿو نن ڊوائيسز تمام پرڪشش قيمتن تي.
انهن لاءِ جيڪي اڃا اڳتي وڌڻ لاءِ تيار نه آهن. ڪنٽرولرز سان SD-WAN کي لاڳو ڪرڻ، ملڪيت جي رستي، ۽ نيٽ ورڪ پلاننگ ۽ انتظام جي نئين طريقي سان ڪجهه گراهڪن لاء تمام وڏو قدم ٿي سگهي ٿو. ها، اهڙي عمل کي آخرڪار ڪميونيڪيشن چينلز جي استعمال ۽ منتظمين جي ڪم کي بهتر بنائڻ ۾ مدد ملندي، پر پهريان توهان کي ڪافي نيون شيون سکڻو پوندو. انهن لاءِ جيڪي اڃا تائين پيراڊيم شفٽ لاءِ تيار نه آهن ، پر انهن جي ڪميونيڪيشن چينلز مان وڌيڪ نچوض ڪرڻ چاهيندا آهن ، فورٽينيٽ جو حل بلڪل صحيح آهي.
جو ذريعو: www.habr.com