SD-WAN හරහා අප වෙත පැමිණීමට පටන් ගත් ප්රශ්න ගණන අනුව විනිශ්චය කිරීම, තාක්ෂණය රුසියාවේ තරයේ මුල් බැස ගැනීමට පටන් ගෙන තිබේ. වෙළෙන්දන්, ස්වභාවිකවම, නිදා නොසිටින අතර ඔවුන්ගේ සංකල්ප ඉදිරිපත් කරයි, සමහර නිර්භීත පුරෝගාමීන් දැනටමත් ඔවුන්ගේ ජාල මත ඒවා ක්රියාත්මක කරති.
අපි සෑම වෙළෙන්දෙකු සමඟම පාහේ වැඩ කරන අතර, අපගේ රසායනාගාරයේ වසර ගණනාවක් පුරා මෘදුකාංග නිර්වචනය කරන ලද විසඳුම්වල සෑම ප්රධාන සංවර්ධකයෙකුගේම ගෘහ නිර්මාණ ශිල්පය පිළිබඳව සොයා බැලීමට මට හැකි විය. Fortinet වෙතින් SD-WAN මෙහි මඳක් වෙන්ව පවතී, එය හුදෙක් ෆයර්වෝල් මෘදුකාංගයට සන්නිවේදන නාලිකා අතර ගමනාගමනය තුලනය කිරීමේ ක්රියාකාරීත්වය ගොඩනගා ඇත. විසඳුම තරමක් ප්රජාතන්ත්රවාදී ය, එබැවින් එය සාමාන්යයෙන් ගෝලීය වෙනස්කම් සඳහා තවමත් සූදානම් නැති නමුත් ඔවුන්ගේ සන්නිවේදන නාලිකා වඩාත් ඵලදායී ලෙස භාවිතා කිරීමට අවශ්ය සමාගම් විසින් සලකනු ලැබේ.
මෙම ලිපියෙන් මට ඔබට කියන්නට අවශ්ය වන්නේ Fortinet වෙතින් SD-WAN වින්යාසගත කරන්නේ කෙසේද සහ වැඩ කරන්නේ කෙසේද, මෙම විසඳුම සුදුසු වන්නේ කාටද සහ ඔබට මෙහි ඇති විය හැකි අන්තරායන් මොනවාද යන්නයි.
SD-WAN වෙළඳපොලේ වඩාත්ම කැපී පෙනෙන ක්රීඩකයින් වර්ග දෙකෙන් එකකට වර්ග කළ හැකිය:
1. මුල සිටම SD-WAN විසඳුම් නිර්මාණය කර ඇති ආරම්භක. මේවායින් වඩාත්ම සාර්ථක ඒවා විශාල සමාගම් විසින් මිලදී ගැනීමෙන් පසු සංවර්ධනය සඳහා විශාල තල්ලුවක් ලබා ගනී - මෙය Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia හි කතාවයි.
2. SD-WAN විසඳුම් නිර්මාණය කර ඇති විශාල ජාල වෙළෙන්දන්, ඔවුන්ගේ සාම්ප්රදායික රවුටරවල ක්රමලේඛනය සහ කළමනාකරණය කිරීමේ හැකියාව වර්ධනය කිරීම - මෙය Juniper, Huawei හි කතාවයි.
Fortinet එහි මාර්ගය සොයා ගැනීමට සමත් විය. ෆයර්වෝල් මෘදුකාංගයේ අන්තර්ගත ක්රියාකාරීත්වයක් ඇති අතර එමඟින් ඒවායේ අතුරුමුහුණත් අථත්ය නාලිකා බවට ඒකාබද්ධ කිරීමට සහ සාම්ප්රදායික මාර්ගගත කිරීම්වලට සාපේක්ෂව සංකීර්ණ ඇල්ගොරිතම භාවිතයෙන් ඒවා අතර බර සමතුලිත කිරීමට හැකි විය. මෙම ක්රියාකාරිත්වය SD-WAN ලෙස හැඳින්වේ. Fortinet කළ දේ SD-WAN ලෙස හැඳින්විය හැකිද? මෘදුකාංග-නිර්වචනය යනු දත්ත තලයෙන් පාලන තලය වෙන් කිරීම, කැපවූ පාලකයන් සහ වාද්ය වෘන්දකයන් බව වෙළඳපල ක්රමයෙන් තේරුම් ගනිමින් සිටී. Fortinet එහෙම දෙයක් නැහැ. මධ්යගත කළමනාකාරිත්වය වෛකල්පිත වන අතර සම්ප්රදායික Fortimanager මෙවලම හරහා පිරිනමනු ලැබේ. නමුත් මගේ මතය අනුව, ඔබ වියුක්ත සත්ය සෙවීම සහ නියමයන් ගැන තර්ක කරමින් කාලය නාස්ති නොකළ යුතුය. සැබෑ ලෝකයේ සෑම ප්රවේශයකටම එහි වාසි සහ අවාසි ඇත. හොඳම ක්රමය නම් ඒවා තේරුම් ගැනීම සහ කාර්යයන්ට අනුරූප වන විසඳුම් තෝරා ගැනීමට හැකි වීමයි.
Fortinet වෙතින් SD-WAN පෙනුම කෙබඳුද සහ එයට කළ හැකි දේ අතේ ඇති තිරපිටපත් සමඟින් මම ඔබට පැවසීමට උත්සාහ කරමි.
සෑම දෙයක්ම ක්රියා කරන ආකාරය
ඔබට දත්ත නාලිකා දෙකකින් සම්බන්ධ ශාඛා දෙකක් ඇතැයි සිතමු. සාමාන්ය ඊතර්නෙට් අතුරුමුහුණත් LACP-Port-Channel එකකට ඒකාබද්ධ කරන ආකාරය හා සමානව මෙම දත්ත සබැඳි සමූහයකට ඒකාබද්ධ කෙරේ. පැරණි-කාලිකයින්ට PPP Multilink මතක තබා ගත හැකිය - එය සුදුසු ප්රතිසමයකි. නාලිකා භෞතික වරායන්, VLAN SVI, මෙන්ම VPN හෝ GRE උමං විය හැක.
අන්තර්ජාලය හරහා ශාඛා දේශීය ජාල සම්බන්ධ කිරීමේදී VPN හෝ GRE සාමාන්යයෙන් භාවිතා වේ. සහ භෞතික වරායන් - අඩවි අතර L2 සම්බන්ධතා තිබේ නම්, හෝ කැප වූ MPLS/VPN හරහා සම්බන්ධ වන විට, උඩින් සහ සංකේතනයකින් තොරව සම්බන්ධතාවය ගැන අප සෑහීමකට පත්වේ නම්. SD-WAN කණ්ඩායමක භෞතික වරායන් භාවිතා කරන තවත් අවස්ථාවක් වන්නේ අන්තර්ජාලයට පරිශීලකයින්ගේ දේශීය ප්රවේශය තුලනය කිරීමයි.
අපගේ ස්ථාවරයේ "සන්නිවේදන ක්රියාකරුවන්" දෙදෙනෙකු හරහා ක්රියාත්මක වන ෆයර්වෝල් හතරක් සහ VPN උමං දෙකක් ඇත. රූප සටහන මේ වගේ ය:
VPN උමං මාර්ග අතුරුමුහුණත් ආකාරයෙන් වින්යාස කර ඇති අතර එමඟින් ඒවා P2P අතුරුමුහුණත්වල IP ලිපින සහිත උපාංග අතර ලක්ෂ්යයෙන් ලක්ෂ්ය සම්බන්ධතාවලට සමාන වන අතර එමඟින් විශේෂිත උමං මාර්ගයක් හරහා සන්නිවේදනය ක්රියාත්මක වන බව සහතික කිරීමට ping කළ හැකිය. ගමනාගමනය සංකේතනය කර ප්රතිවිරුද්ධ පැත්තට යාමට නම්, එය උමග තුළට යොමු කිරීම ප්රමාණවත් වේ. විකල්පය වන්නේ උපජාල ලැයිස්තු භාවිතයෙන් සංකේතනය සඳහා ගමනාගමනය තෝරා ගැනීමයි, එය වින්යාසය වඩාත් සංකීර්ණ වන විට පරිපාලකයා බෙහෙවින් ව්යාකූල කරයි. විශාල ජාලයක් තුළ, ඔබට VPN එකක් තැනීමට ADVPN තාක්ෂණය භාවිතා කළ හැකිය; මෙය Cisco වෙතින් DMVPN හෝ Huawei වෙතින් DVPN හි ප්රතිසමයක් වන අතර, එය පහසුවෙන් සැකසීමට ඉඩ සලසයි.
දෙපස BGP රවුටින් සහිත උපාංග දෙකක් සඳහා Site-to-Site VPN වින්යාසය
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
මම වින්යාසය පෙළ ආකාරයෙන් ලබා දෙමි, මන්ද, මගේ මතය අනුව, VPN මේ ආකාරයෙන් වින්යාස කිරීම වඩාත් පහසු ය. සියලුම සැකසුම් පාහේ දෙපසම සමාන වේ; පෙළ ආකාරයෙන් ඒවා පිටපත්-පේස්ට් ලෙස සාදා ගත හැකිය. ඔබ වෙබ් අතුරු මුහුණතේ එකම දේ කරන්නේ නම්, වැරැද්දක් කිරීම පහසුය - කොතැනක හෝ සලකුණු සලකුණක් අමතක කරන්න, වැරදි අගයක් ඇතුළත් කරන්න.
අපි බණ්ඩලයට අතුරුමුහුණත් එකතු කළ පසු
සියලුම මාර්ග සහ ආරක්ෂක ප්රතිපත්තිවලට එය යොමු කළ හැකි අතර, එහි ඇතුළත් අතුරු මුහුණත් වෙත නොවේ. අවම වශයෙන්, ඔබ අභ්යන්තර ජාල වලින් SD-WAN වෙත ගමනාගමනයට ඉඩ දිය යුතුය. ඔබ ඔවුන් සඳහා නීති සම්පාදනය කරන විට, ඔබට IPS, ප්රති-වයිරස සහ HTTPS අනාවරණය වැනි ආරක්ෂිත පියවර යෙදිය හැක.
SD-WAN රීති බණ්ඩලය සඳහා වින්යාස කර ඇත. මේවා නිශ්චිත ගමනාගමනය සඳහා සමතුලිත ඇල්ගොරිතම නිර්වචනය කරන නීති වේ. ඒවා ප්රතිපත්ති-පාදක මාර්ගගත කිරීමේ ප්රතිපත්තිවලට සමාන වේ, ප්රතිපත්තිය යටතට වැටෙන ගමනාගමනයේ ප්රතිඵලයක් ලෙස පමණක්, එය ස්ථාපනය කර ඇත්තේ මීළඟ-හොප් හෝ සාමාන්ය පිටතට යන අතුරු මුහුණත නොවේ, නමුත් SD-WAN බණ්ඩල් ප්ලස් වෙත එක් කළ අතුරුමුහුණත්. මෙම අතුරුමුහුණත් අතර රථවාහන තුලනය කිරීමේ ඇල්ගොරිතමයක්.
L3-L4 තොරතුරු මගින්, පිළිගත් යෙදුම්, අන්තර්ජාල සේවා (URL සහ IP), මෙන්ම වැඩපොළවල් සහ ලැප්ටොප් පරිගණක භාවිත කරන්නන් විසින් සාමාන්ය ප්රවාහයෙන් ගමනාගමනය වෙන් කළ හැක. මෙයින් පසු, වෙන් කළ ගමනාගමනයට පහත සමතුලිත ඇල්ගොරිතම වලින් එකක් පැවරිය හැකිය:
අතුරුමුහුණත් මනාප ලැයිස්තුවේ, මෙම වර්ගයේ ගමනාගමනයට සේවය කරන බණ්ඩලයට දැනටමත් එකතු කර ඇති අතුරුමුහුණත් තෝරා ඇත. සියලුම අතුරුමුහුණත් එකතු කිරීමෙන්, ඔබට ඉහළ SLA සමඟ මිල අධික නාලිකා බර කිරීමට ඔබට අවශ්ය නැතිනම්, ඔබ භාවිතා කරන නාලිකා හරියටම සීමා කළ හැකිය, ඊමේල් කරන්න. FortiOS 6.4.1 හි, SD-WAN බණ්ඩලයට එකතු කරන ලද අතුරුමුහුණත් කලාපවලට කණ්ඩායම් කිරීමට හැකි විය, උදාහරණයක් ලෙස, දුරස්ථ අඩවි සමඟ සන්නිවේදනය සඳහා එක් කලාපයක් සහ NAT භාවිතයෙන් දේශීය අන්තර්ජාල ප්රවේශය සඳහා තවත් කලාපයක් නිර්මාණය කරයි. ඔව්, ඔව්, සාමාන්ය අන්තර්ජාලයට යන ගමනාගමනය ද සමතුලිත විය හැකිය.
ඇල්ගොරිතම සමතුලිත කිරීම ගැන
Fortigate (Fortinet වෙතින් ගිනි පවුරක්) නාලිකා අතර ගමනාගමනය බෙදිය හැකි ආකාරය සම්බන්ධයෙන්, වෙළඳපොලේ එතරම් සුලභ නොවන රසවත් විකල්ප දෙකක් තිබේ:
අඩුම පිරිවැය (SLA) - මේ මොහොතේ SLA තෘප්තිමත් කරන සියලුම අතුරුමුහුණත් වලින්, පරිපාලක විසින් අතින් සකසා ඇති අඩු බර (පිරිවැය) සහිත එකක් තෝරා ගනු ලැබේ; මෙම මාදිලිය උපස්ථ සහ ගොනු මාරු කිරීම් වැනි "තොග" ගමනාගමනය සඳහා සුදුසු වේ.
හොඳම තත්ත්වය (SLA) - මෙම ඇල්ගොරිතම, සුපුරුදු ප්රමාදයට අමතරව, ෆෝටිගේට් පැකට් වල කම්පනය සහ නැතිවීම, නාලිකා වල ගුණාත්මකභාවය තක්සේරු කිරීම සඳහා වත්මන් නාලිකා භාරය ද භාවිතා කළ හැකිය; මෙම මාදිලිය VoIP සහ වීඩියෝ සම්මන්ත්රණ වැනි සංවේදී ගමනාගමනය සඳහා සුදුසු වේ.
මෙම ඇල්ගොරිතම සඳහා සන්නිවේදන නාලිකා කාර්ය සාධන මීටරයක් පිහිටුවීම අවශ්ය වේ - කාර්ය සාධන SLA. මෙම මීටරය කාලානුරූපව (පරීක්ෂා විරාමය) SLA සමඟ අනුකූල වීම පිළිබඳ තොරතුරු නිරීක්ෂණය කරයි: පැකට් නැතිවීම, ප්රමාදය සහ සන්නිවේදන නාලිකාවේ දෙගිඩියාව, සහ දැනට ගුණාත්මක සීමාවන්ට නොගැලපෙන එම නාලිකා “ප්රතික්ෂේප” කළ හැකිය - ඒවා බොහෝ පැකට් නැති වී හෝ අත්විඳිමින් සිටී. බොහෝ ප්රමාදය. මීට අමතරව, මීටරය නාලිකාවේ තත්ත්වය නිරීක්ෂණය කරන අතර, නැවත නැවත ප්රතිචාර අහිමි වුවහොත් (අක්රිය වීමට පෙර අසාර්ථක වීම්) තාවකාලිකව එය බණ්ඩලයෙන් ඉවත් කළ හැක. ප්රතිසාධනය කළ විට, අනුක්රමික ප්රතිචාර කිහිපයකට පසුව (සබැඳිය පසු ප්රතිසාධනය කරන්න), මීටරය ස්වයංක්රීයව නාලිකාව බණ්ඩලය වෙත ආපසු ලබා දෙනු ඇත, සහ දත්ත නැවත එය හරහා සම්ප්රේෂණය වීමට පටන් ගනී.
"මීටර්" සැකසුම පෙනෙන්නේ මෙයයි:
වෙබ් අතුරු මුහුණතෙහි, ICMP-Echo-request, HTTP-GET සහ DNS ඉල්ලීම පරීක්ෂණ ප්රොටෝකෝල ලෙස පවතී. විධාන රේඛාවේ තව ටිකක් විකල්ප තිබේ: TCP-echo සහ UDP-echo විකල්ප තිබේ, මෙන්ම විශේෂිත තත්ත්ව මිනුම් ප්රොටෝකෝලය - TWAMP.
මිනුම් ප්රතිඵල වෙබ් අතුරු මුහුණතෙහි ද දැකිය හැක:
සහ විධාන රේඛාවේ:
දෝෂගවේෂණය
ඔබ රීතියක් නිර්මාණය කළේ නම්, නමුත් සෑම දෙයක්ම අපේක්ෂිත පරිදි ක්රියා නොකරන්නේ නම්, ඔබ SD-WAN රීති ලැයිස්තුවේ Hit Count අගය දෙස බැලිය යුතුය. ගමනාගමනය මෙම රීතියට කිසිසේත් වැටේදැයි එය පෙන්වනු ඇත:
මීටරයේ සිටුවම් පිටුවෙහිම, කාලයත් සමඟ නාලිකා පරාමිතිවල වෙනස ඔබට දැකිය හැකිය. තිත් රේඛාව පරාමිතියේ එළිපත්ත අගය දක්වයි
සම්ප්රේෂණය කරන ලද/ලැබුණු දත්ත ප්රමාණය සහ සැසි ගණන අනුව ගමනාගමනය බෙදා හරින ආකාරය වෙබ් අතුරු මුහුණතෙහි ඔබට දැක ගත හැක:
මේ සියල්ලට අමතරව, උපරිම විස්තර සහිතව පැකට් ගමන් කිරීම නිරීක්ෂණය කිරීමට විශිෂ්ට අවස්ථාවක් තිබේ. සැබෑ ජාලයක වැඩ කරන විට, උපාංග වින්යාසය බොහෝ මාර්ගගත කිරීමේ ප්රතිපත්ති, ෆයර්වෝල් කිරීම සහ SD-WAN වරායන් හරහා ගමනාගමනය බෙදා හැරීම රැස් කරයි. මේ සියල්ල සංකීර්ණ ආකාරයකින් එකිනෙකා සමඟ අන්තර්ක්රියා කරන අතර, වෙළෙන්දා විසින් පැකට් සැකසුම් ඇල්ගොරිතම පිළිබඳ සවිස්තරාත්මක බ්ලොක් රූපසටහන් ලබා දුන්නද, න්යායන් ගොඩනඟා පරීක්ෂා කිරීමට නොහැකි වීම ඉතා වැදගත් වේ, නමුත් ගමනාගමනය සැබවින්ම යන්නේ කොතැනට දැයි බැලීම.
උදාහරණයක් ලෙස, පහත දැක්වෙන විධාන කට්ටලය
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
10.200.64.15 මූලාශ්ර ලිපිනයක් සහ 10.1.7.2 ගමනාන්ත ලිපිනයක් සහිත පැකට් දෙකක් නිරීක්ෂණය කිරීමට ඔබට ඉඩ සලසයි.
අපි 10.7.1.2 10.200.64.15 සිට දෙවරක් පිං කර කොන්සෝලයේ ප්රතිදානය දෙස බලමු.
පළමු පැකේජය:
දෙවන පැකේජය:
ෆයර්වෝලයට ලැබුණු පළමු පැකට්ටුව මෙන්න:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
ඔහු සඳහා නව සැසියක් නිර්මාණය කර ඇත:
msg="allocate a new session-0006a627"
සහ මාර්ගගත කිරීමේ ප්රතිපත්ති සැකසීම් තුළ ගැළපීමක් හමු විය
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
පැකට්ටුව VPN උමං වලින් එකකට යැවිය යුතු බව පෙනේ:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
ෆයර්වෝල් ප්රතිපත්ති තුළ පහත ඉඩ දෙන රීතිය අනාවරණය වේ:
msg="Allowed by Policy-3:"
පැකට්ටුව සංකේතනය කර VPN උමග වෙත යවනු ලැබේ:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
සංකේතාත්මක පැකට්ටුව මෙම WAN අතුරුමුහුණත සඳහා ද්වාර ලිපිනය වෙත යවනු ලැබේ:
msg="send to 2.2.2.2 via intf-WAN1"
දෙවන පැකට්ටුව සඳහා, සෑම දෙයක්ම සමානව සිදු වේ, නමුත් එය වෙනත් VPN උමගකට යවා වෙනත් ෆයර්වෝල් වරායක් හරහා පිටත් වේ:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
විසඳුමේ වාසි
විශ්වසනීය ක්රියාකාරිත්වය සහ පරිශීලක-හිතකාමී අතුරුමුහුණත. SD-WAN පැමිණීමට පෙර FortiOS හි පැවති විශේෂාංග කට්ටලය සම්පූර්ණයෙන්ම සංරක්ෂණය කර ඇත. එනම්, අප සතුව අලුතින් සංවර්ධනය කරන ලද මෘදුකාංගයක් නොව, ඔප්පු කරන ලද ෆයර්වෝල් වෙළෙන්දෙකුගේ පරිණත පද්ධතියකි. සම්ප්රදායික ජාල ක්රියාකාරකම් සමූහයක් සමඟින්, පහසු සහ ඉගෙනීමට පහසු වෙබ් අතුරු මුහුණතක්. SD-WAN වෙළෙන්දන් කී දෙනෙකුට අවසාන උපාංගවල දුරස්ථ ප්රවේශ VPN ක්රියාකාරීත්වය තිබේද?
ආරක්ෂක මට්ටම 80. FortiGate යනු ඉහළම ෆයර්වෝල් විසඳුම් වලින් එකකි. ෆයර්වෝල් සැකසීම සහ පරිපාලනය කිරීම පිළිබඳ අන්තර්ජාලයේ බොහෝ ද්රව්ය තිබේ, සහ ශ්රම වෙළඳපොළේ දැනටමත් විකුණුම්කරුගේ විසඳුම් ප්රගුණ කර ඇති බොහෝ ආරක්ෂක විශේෂඥයින් ඇත.
SD-WAN ක්රියාකාරීත්වය සඳහා ශුන්ය මිල. SD-WAN ක්රියාකාරීත්වය ක්රියාත්මක කිරීමට අමතර බලපත්ර අවශ්ය නොවන බැවින්, FortiGate මත SD-WAN ජාලයක් ගොඩනැගීම සඳහා සාමාන්ය WAN ජාලයක් ගොඩනැගීමට සමාන පිරිවැයක් දැරීමට සිදුවේ.
අඩු ඇතුල්වීමේ බාධක මිල. Fortigate සතුව විවිධ කාර්ය සාධන මට්ටම් සඳහා උපාංගවල හොඳ ශ්රේණියක් ඇත. සේවකයින් 3-5 දෙනෙකු විසින් කාර්යාලයක් හෝ විකුණුම් ස්ථානයක් පුළුල් කිරීම සඳහා ලාබාලම සහ වඩාත්ම මිල අඩු ආකෘති බෙහෙවින් සුදුසු ය. බොහෝ වෙළෙන්දන් සරලව එවැනි අඩු කාර්ය සාධනයක් සහ දැරිය හැකි ආකෘති නොමැත.
ඉහළ කාර්ය සාධනය. SD-WAN ක්රියාකාරිත්වය ගමනාගමන සමතුලිතතාවයට අඩු කිරීම සමාගමට විශේෂිත SD-WAN ASIC නිකුත් කිරීමට ඉඩ ලබා දුන්නේය, SD-WAN මෙහෙයුම සමස්තයක් ලෙස ෆයර්වෝලයේ ක්රියාකාරිත්වය අඩු නොකරයි.
Fortinet උපකරණ මත සම්පූර්ණ කාර්යාලයක් ක්රියාත්මක කිරීමේ හැකියාව. මේවා ෆයර්වෝල් යුගලයක්, ස්විචයන්, Wi-Fi ප්රවේශ ස්ථාන වේ. එවැනි කාර්යාලයක් කළමනාකරණය කිරීමට පහසු සහ පහසු වේ - ස්විච සහ ප්රවේශ ස්ථාන ෆයර්වෝල් මත ලියාපදිංචි කර ඒවායින් කළමනාකරණය කරයි. උදාහරණයක් ලෙස, මෙම ස්විචය පාලනය කරන ෆයර්වෝල් අතුරුමුහුණතෙන් ස්විච් පෝට් එකක් පෙනෙන්නේ මෙයයි:
අසමත් වීමේ තනි ලක්ෂයක් ලෙස පාලකයන් නොමැතිකම. වෙළෙන්දා විසින්ම මේ පිළිබඳව අවධානය යොමු කරයි, නමුත් මෙය අර්ධ වශයෙන් පමණක් ප්රතිලාභයක් ලෙස හැඳින්විය හැකිය, මන්ද පාලකයන් ඇති වෙළෙන්දන්ට ඔවුන්ගේ වැරදි ඉවසීම ලාභදායී බව සහතික කිරීම, බොහෝ විට අථත්යකරණ පරිසරයක කුඩා පරිගණක සම්පත් ප්රමාණයක මිලට.
සොයා බැලිය යුතු දේ
පාලන තලය සහ දත්ත තලය අතර වෙන්වීමක් නොමැත. මෙයින් අදහස් කරන්නේ ජාලය අතින් හෝ දැනටමත් පවතින සාම්ප්රදායික කළමනාකරණ මෙවලම් භාවිතයෙන් වින්යාසගත කළ යුතු බවයි - FortiManager. එවැනි වෙන්වීමක් ක්රියාත්මක කර ඇති වෙළෙන්දන් සඳහා, ජාලයම එකලස් කර ඇත. පරිපාලකයාට අවශ්ය වන්නේ එහි ස්ථලකය සකස් කිරීම, කොහේ හරි දෙයක් තහනම් කිරීම, ඊට වඩා දෙයක් නොවේ. කෙසේ වෙතත්, FortiManager හි තුරුම්පුව වන්නේ එය ෆයර්වෝල් පමණක් නොව, ස්විච සහ Wi-Fi ප්රවේශ ස්ථාන, එනම් මුළු ජාලයම පාහේ කළමනාකරණය කළ හැකි බවයි.
පාලනය කිරීමේ හැකියාවේ කොන්දේසි සහිත වැඩි වීම. ජාල වින්යාසය ස්වයංක්රීය කිරීම සඳහා සාම්ප්රදායික මෙවලම් භාවිතා කරන බැවින්, SD-WAN හඳුන්වාදීමත් සමඟ ජාල කළමනාකරණය තරමක් වැඩි වේ. අනෙක් අතට, නව ක්රියාකාරිත්වය වේගයෙන් ලබා ගත හැකිය, මන්ද වෙළෙන්දා එය මුලින්ම නිකුත් කරන්නේ ෆයර්වෝල් මෙහෙයුම් පද්ධතිය සඳහා පමණි (එමගින් එය වහාම භාවිතා කිරීමට හැකි වේ), පසුව පමණක් කළමනාකරණ පද්ධතියට අවශ්ය අතුරුමුහුණත් සමඟ අතිරේක වේ.
සමහර ක්රියාකාරකම් විධාන රේඛාවෙන් ලබා ගත හැකි නමුත් වෙබ් අතුරු මුහුණතෙන් ලබා ගත නොහැක. සමහර විට යමක් වින්යාස කිරීම සඳහා විධාන රේඛාවට යාම එතරම් බියජනක නොවේ, නමුත් යමෙකු දැනටමත් විධාන රේඛාවෙන් යමක් වින්යාස කර ඇති බව වෙබ් අතුරු මුහුණතේ නොදැකීම බියජනක ය. නමුත් මෙය සාමාන්යයෙන් නවතම විශේෂාංග වලට අදාළ වන අතර ක්රමයෙන් FortiOS යාවත්කාලීන කිරීම් සමඟ වෙබ් අතුරු මුහුණතේ හැකියාවන් වැඩිදියුණු වේ.
කවුද ගැලපෙන්නේ
බොහෝ ශාඛා නොමැති අය සඳහා. 8-10 ශාඛා ජාලයක සංකීර්ණ කේන්ද්රීය සංරචක සහිත SD-WAN විසඳුමක් ක්රියාත්මක කිරීම ඉටිපන්දම සඳහා වැය නොවනු ඇත - ඔබට මධ්යම සංරචක සත්කාරකත්වය සැපයීම සඳහා SD-WAN උපාංග සහ අථත්යකරණ පද්ධති සම්පත් සඳහා බලපත්ර සඳහා මුදල් වියදම් කිරීමට සිදුවනු ඇත. කුඩා සමාගමකට සාමාන්යයෙන් සීමිත නිදහස් පරිගණක සම්පත් ඇත. Fortinet සම්බන්ධයෙන් ගත් කල, එය හුදෙක් ෆයර්වෝල් මිලදී ගැනීමට ප්රමාණවත් වේ.
කුඩා අතු ගොඩක් ඇති අයට. බොහෝ වෙළෙන්දන් සඳහා, ශාඛාවකට අවම විසඳුම් මිල තරමක් ඉහළ වන අතර අවසාන පාරිභෝගිකයාගේ ව්යාපාරයේ දෘෂ්ටි කෝණයෙන් එය රසවත් නොවිය හැකිය. Fortinet ඉතා ආකර්ෂණීය මිල ගණන් යටතේ කුඩා උපාංග ලබා දෙයි.
තවමත් වැඩි දුරක් යාමට සූදානම් නැති අය සඳහා. පාලකයන් සමඟ SD-WAN ක්රියාත්මක කිරීම, හිමිකාර මාර්ගගත කිරීම සහ ජාල සැලසුම්කරණය සහ කළමනාකරණය සඳහා නව ප්රවේශයක් සමහර පාරිභෝගිකයින්ට ඉතා විශාල පියවරක් විය හැකිය. ඔව්, එවැනි ක්රියාත්මක කිරීමක් අවසානයේ සන්නිවේදන නාලිකා භාවිතය සහ පරිපාලකයින්ගේ වැඩ ප්රශස්ත කිරීමට උපකාරී වනු ඇත, නමුත් පළමුව ඔබට නව දේවල් රාශියක් ඉගෙන ගැනීමට සිදුවනු ඇත. සුසමාදර්ශී වෙනසක් සඳහා තවමත් සූදානම් නැති නමුත්, ඔවුන්ගේ සන්නිවේදන නාලිකාවලින් වැඩිපුර මිරිකීමට කැමති අය සඳහා, Fortinet වෙතින් විසඳුම නිවැරදියි.
මූලාශ්රය: www.habr.com