Duke gjykuar nga numri i pyetjeve që filluan të na vijnë përmes SD-WAN, teknologjia ka filluar të zërë rrënjë tërësisht në Rusi. Shitësit, natyrisht, nuk janë në gjumë dhe ofrojnë konceptet e tyre, dhe disa pionierë të guximshëm tashmë po i zbatojnë ato në rrjetet e tyre.
Ne punojmë me pothuajse të gjithë shitësit dhe gjatë disa viteve në laboratorin tonë kam arritur të gërmoj në arkitekturën e çdo zhvilluesi kryesor të zgjidhjeve të përcaktuara nga softueri. SD-WAN nga Fortinet qëndron pak larg këtu, i cili thjesht ndërtoi funksionalitetin e balancimit të trafikut midis kanaleve të komunikimit në softuerin e murit të zjarrit. Zgjidhja është mjaft demokratike, kështu që zakonisht konsiderohet nga kompanitë që nuk janë ende gati për ndryshime globale, por duan të përdorin kanalet e tyre të komunikimit në mënyrë më efektive.
Në këtë artikull dua t'ju tregoj se si të konfiguroni dhe punoni me SD-WAN nga Fortinet, për kë është e përshtatshme kjo zgjidhje dhe cilat gracka mund të hasni këtu.
Lojtarët më të shquar në tregun SD-WAN mund të klasifikohen në një nga dy llojet:
1. Startups që kanë krijuar zgjidhje SD-WAN nga e para. Më të suksesshmit prej tyre marrin një shtysë të madhe për zhvillim pasi janë blerë nga kompani të mëdha - kjo është historia e Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Shitësit e mëdhenj të rrjetit që kanë krijuar zgjidhje SD-WAN, duke zhvilluar programueshmërinë dhe menaxhueshmërinë e ruterave të tyre tradicionalë - kjo është historia e Juniper, Huawei
Fortinet arriti të gjente rrugën. Softueri i murit të zjarrit kishte funksionalitet të integruar që bënte të mundur kombinimin e ndërfaqeve të tyre në kanale virtuale dhe balancimin e ngarkesës midis tyre duke përdorur algoritme komplekse në krahasim me rrugëzimin konvencional. Ky funksionalitet u quajt SD-WAN. A mund të quhet ajo që Fortinet bëri SD-WAN? Tregu po e kupton gradualisht se Programi i Përcaktuar nënkupton ndarjen e Planit të Kontrollit nga Plani i të Dhënave, kontrolluesve të dedikuar dhe orkestruesve. Fortinet nuk ka asgjë të tillë. Menaxhimi i centralizuar është opsional dhe ofrohet përmes mjetit tradicional Fortimanager. Por për mendimin tim, nuk duhet të kërkoni të vërtetën abstrakte dhe të humbni kohë duke debatuar për termat. Në botën reale, çdo qasje ka avantazhet dhe disavantazhet e veta. Mënyra më e mirë është t'i kuptoni ato dhe të jeni në gjendje të zgjidhni zgjidhje që korrespondojnë me detyrat.
Do të përpiqem t'ju tregoj me pamje nga ekrani në dorë se si duket SD-WAN nga Fortinet dhe çfarë mund të bëjë.
Si funksionon gjithçka
Le të supozojmë se keni dy degë të lidhura nga dy kanale të dhënash. Këto lidhje të dhënash kombinohen në një grup, ngjashëm me mënyrën se si ndërfaqet e rregullta Ethernet kombinohen në një LACP-Port-Channel. Kohët e vjetër do të kujtojnë PPP Multilink - gjithashtu një analogji e përshtatshme. Kanalet mund të jenë porte fizike, VLAN SVI, si dhe tunele VPN ose GRE.
VPN ose GRE zakonisht përdoren kur lidhni rrjetet lokale të degëve përmes internetit. Dhe portet fizike - nëse ka lidhje L2 midis sajteve, ose kur lidheni përmes një MPLS/VPN të dedikuar, nëse jemi të kënaqur me lidhjen pa Mbivendosje dhe kriptim. Një tjetër skenar në të cilin portet fizike përdoren në një grup SD-WAN është balancimi i aksesit lokal të përdoruesve në internet.
NĂ« stendĂ«n tonĂ« ka katĂ«r mure zjarri dhe dy tunele VPN qĂ« funksionojnĂ« pĂ«rmes dy âoperatorĂ«ve tĂ« komunikimitâ. Diagrami duket si ky:
Tunelet VPN janë konfiguruar në modalitetin e ndërfaqes në mënyrë që ato të jenë të ngjashme me lidhjet pikë-për-pikë midis pajisjeve me adresa IP në ndërfaqet P2P, të cilat mund të futen në ping për të siguruar që komunikimi përmes një tuneli të caktuar funksionon. Në mënyrë që trafiku të jetë i koduar dhe të shkojë në anën e kundërt, mjafton ta drejtoni atë në tunel. Alternativa është të zgjidhni trafikun për enkriptim duke përdorur listat e nënrrjetave, gjë që e ngatërron shumë administratorin pasi konfigurimi bëhet më kompleks. Në një rrjet të madh, mund të përdorni teknologjinë ADVPN për të ndërtuar një VPN; ky është një analog i DMVPN nga Cisco ose DVPN nga Huawei, i cili lejon konfigurimin më të lehtë.
Konfigurimi VPN i faqes në sajt për dy pajisje me rrugëzim BGP në të dy anët
«ЊĐĐ» (DC)
«ЀОлОал» (BRN)
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 1.1.1.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "DC-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 3.3.3.1 255.255.255.252
ââset allowaccess ping
ââset role lan
ââset interface "DC-BRD"
ââset vlanid 112
ânext
âedit "BRN-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.1 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.2 255.255.255.255
ââset interface "WAN1"
ânext
âedit "BRN-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.3 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.4 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
âedit "BRN-Ph1-1"
ââset interface "WAN1"
ââset local-gw 1.1.1.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 2.2.2.1
ââset psksecret ***
ânext
âedit "BRN-Ph1-2"
ââset interface "WAN2"
ââset local-gw 3.3.3.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 4.4.4.1
ââset psksecret ***
ânext
end
config vpn ipsec phase2-interface
âedit "BRN-Ph2-1"
ââset phase1name "BRN-Ph1-1"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
âedit "BRN-Ph2-2"
ââset phase1name "BRN-Ph1-2"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
end
config router static
âedit 1
ââset gateway 1.1.1.2
ââset device "WAN1"
ânext
âedit 3
ââset gateway 3.3.3.2
ââset device "WAN2"
ânext
end
config router bgp
âset as 65002
âset router-id 10.1.7.1
âset ebgp-multipath enable
âconfig neighbor
ââedit "192.168.254.2"
âââset remote-as 65003
âânext
ââedit "192.168.254.4"
âââset remote-as 65003
âânext
âend
âconfig network
ââedit 1
âââset prefix 10.1.0.0 255.255.0.0
âânext
end
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 2.2.2.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 4.4.4.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 114
ânext
âedit "DC-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.2 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.1 255.255.255.255
ââset interface "WAN1"
ânext
âedit "DC-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.4 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.3 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
â edit "DC-Ph1-1"
ââ set interface "WAN1"
ââ set local-gw 2.2.2.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 1.1.1.1
ââ set psksecret ***
â next
â edit "DC-Ph1-2"
ââ set interface "WAN2"
ââ set local-gw 4.4.4.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 3.3.3.1
ââ set psksecret ***
â next
end
config vpn ipsec phase2-interface
â edit "DC-Ph2-1"
ââ set phase1name "DC-Ph1-1"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
â edit "DC2-Ph2-2"
ââ set phase1name "DC-Ph1-2"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
end
config router static
âedit 1
ââset gateway 2.2.2.2
ââet device "WAN1"
ânext
âedit 3
ââset gateway 4.4.4.2
ââset device "WAN2"
ânext
end
config router bgp
â set as 65003
â set router-id 10.200.7.1
â set ebgp-multipath enable
â config neighbor
ââ edit "192.168.254.1"
âââ set remote-as 65002
ââ next
ââedit "192.168.254.3"
âââset remote-as 65002
ââ next
â end
â config network
ââ edit 1
âââ set prefix 10.200.0.0 255.255.0.0
â ânext
end
Unë jam duke ofruar konfigurimin në formë teksti, sepse, për mendimin tim, është më i përshtatshëm për të konfiguruar VPN në këtë mënyrë. Pothuajse të gjitha cilësimet janë të njëjta në të dyja anët; në formë teksti ato mund të bëhen si copy-paste. Nëse bëni të njëjtën gjë në ndërfaqen e uebit, është e lehtë të bëni një gabim - harroni një pikë kontrolli diku, vendosni vlerën e gabuar.
Pasi shtuam ndërfaqet në paketë
të gjitha rrugët dhe politikat e sigurisë mund t'i referohen atij, dhe jo ndërfaqeve të përfshira në të. Së paku, duhet të lejoni trafikun nga rrjetet e brendshme në SD-WAN. Kur krijoni rregulla për to, mund të aplikoni masa mbrojtëse si zbulimi i IPS, antivirus dhe HTTPS.
Rregullat SD-WAN janë konfiguruar për paketën. Këto janë rregulla që përcaktojnë algoritmin e balancimit për trafikun specifik. Ato janë të ngjashme me politikat e rrugëtimit në rrugëzimin e bazuar në politika, vetëm si rezultat i trafikut që i nënshtrohet politikës, nuk është instaluar ndërfaqja e ardhshme ose ndërfaqja e zakonshme dalëse, por ndërfaqet e shtuara në paketën SD-WAN plus një algoritëm balancimi i trafikut ndërmjet këtyre ndërfaqeve.
Trafiku mund të ndahet nga fluksi i përgjithshëm me informacionin L3-L4, nga aplikacionet e njohura, shërbimet e internetit (URL dhe IP), si dhe nga përdoruesit e njohur të stacioneve të punës dhe laptopëve. Pas kësaj, një nga algoritmet e mëposhtme të balancimit mund t'i caktohet trafikut të alokuar:
Në listën e Preferencave të Ndërfaqes, zgjidhen ato ndërfaqe nga ato të shtuara tashmë në paketë që do të shërbejnë për këtë lloj trafiku. Duke shtuar jo të gjitha ndërfaqet, mund të kufizoni saktësisht se cilat kanale përdorni, të themi, email, nëse nuk dëshironi të ngarkoni kanalet e shtrenjta me një SLA të lartë me të. Në FortiOS 6.4.1, u bë i mundur grupimi i ndërfaqeve të shtuara në paketën SD-WAN në zona, duke krijuar, për shembull, një zonë për komunikim me faqet e largëta dhe një tjetër për aksesin lokal në internet duke përdorur NAT. Po, po, trafiku që shkon në internetin e rregullt mund të jetë gjithashtu i balancuar.
Rreth algoritmeve të balancimit
Lidhur me mënyrën se si Fortigate (një mur zjarri nga Fortinet) mund të ndajë trafikun midis kanaleve, ekzistojnë dy opsione interesante që nuk janë shumë të zakonshme në treg:
Kostoja mĂ« e ulĂ«t (SLA) â nga tĂ« gjitha ndĂ«rfaqet qĂ« plotĂ«sojnĂ« SLA pĂ«r momentin, zgjidhet ai me peshĂ«n (kosto) mĂ« tĂ« ulĂ«t, tĂ« vendosur manualisht nga administratori; ky modalitet Ă«shtĂ« i pĂ«rshtatshĂ«m pĂ«r trafikun "madh" siç janĂ« kopjet rezervĂ« dhe transferimet e skedarĂ«ve.
CilĂ«sia mĂ« e mirĂ« (SLA) â ky algoritĂ«m, pĂ«rveç vonesĂ«s sĂ« zakonshme, nervozizmit dhe humbjes sĂ« paketave Fortigate, mund tĂ« pĂ«rdorĂ« edhe ngarkesĂ«n aktuale tĂ« kanalit pĂ«r tĂ« vlerĂ«suar cilĂ«sinĂ« e kanaleve; Ky modalitet Ă«shtĂ« i pĂ«rshtatshĂ«m pĂ«r trafik tĂ« ndjeshĂ«m si VoIP dhe video-konferenca.
Këto algoritme kërkojnë vendosjen e një matësi të performancës së kanalit të komunikimit - Performance SLA. Ky njehsor monitoron periodikisht (intervalin e kontrollit) informacionin në lidhje me pajtueshmërinë me SLA: humbjen e paketës, vonesën dhe nervozizmin në kanalin e komunikimit dhe mund të "refuzojë" ato kanale që aktualisht nuk i plotësojnë kufijtë e cilësisë - ata po humbasin shumë paketa ose po përjetojnë shumë paketa. shumë vonesë. Për më tepër, njehsori monitoron statusin e kanalit dhe mund ta heqë përkohësisht atë nga paketa në rast të humbjes së përsëritur të përgjigjeve (dështime përpara joaktive). Kur të rikthehet, pas disa përgjigjeve të njëpasnjëshme (rikthimi i lidhjes pas), njehsori do ta kthejë automatikisht kanalin në paketë dhe të dhënat do të fillojnë të transmetohen përsëri përmes tij.
Ja si duket cilësimi i "matësit":
Në ndërfaqen e internetit, kërkesa ICMP-Echo, HTTP-GET dhe kërkesa DNS janë të disponueshme si protokolle testimi. Ka pak më shumë opsione në linjën e komandës: opsionet TCP-echo dhe UDP-echo janë të disponueshme, si dhe një protokoll i specializuar për matjen e cilësisë - TWAMP.
Rezultatet e matjes mund të shihen gjithashtu në ndërfaqen e internetit:
Dhe në vijën e komandës:
Zgjidhja e problemeve
Nëse keni krijuar një rregull, por gjithçka nuk funksionon siç pritej, duhet të shikoni vlerën e numrit të goditjeve në listën e Rregullave SD-WAN. Do të tregojë nëse trafiku bie fare në këtë rregull:
Në faqen e cilësimeve të vetë njehsorit, mund të shihni ndryshimin në parametrat e kanalit me kalimin e kohës. Vija me pika tregon vlerën e pragut të parametrit
Në ndërfaqen e internetit mund të shihni se si shpërndahet trafiku sipas sasisë së të dhënave të transmetuara/marra dhe numrit të seancave:
Përveç gjithë kësaj, ekziston një mundësi e shkëlqyer për të gjurmuar kalimin e paketave me detaje maksimale. Kur punoni në një rrjet real, konfigurimi i pajisjes grumbullon shumë politika rrugësh, mure zjarri dhe shpërndarje trafiku nëpër portat SD-WAN. E gjithë kjo ndërvepron me njëra-tjetrën në një mënyrë komplekse, dhe megjithëse shitësi ofron bllok diagrame të detajuara të algoritmeve të përpunimit të paketave, është shumë e rëndësishme të jesh në gjendje të mos ndërtosh dhe testosh teori, por të shikosh se ku shkon trafiku në të vërtetë.
Për shembull, grupi i mëposhtëm i komandave
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Ju lejon të gjurmoni dy paketa me një adresë burimi 10.200.64.15 dhe një adresë destinacioni 10.1.7.2.
Ne bëjmë ping 10.7.1.2 nga 10.200.64.15 dy herë dhe shikojmë daljen në tastierë.
Paketa e parë:
Paketa e dytë:
Këtu është paketa e parë e marrë nga muri i zjarrit:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM â Internet, Proto=1 (ICMP), DMZ-Office â ĐœĐ°Đ·ĐČĐ°ĐœĐžĐ” L3-ĐžĐœŃĐ”ŃŃĐ”ĐčŃĐ°. Type=8 â Echo.
Një seancë e re është krijuar për të:
msg="allocate a new session-0006a627"
Dhe një përputhje u gjet në cilësimet e politikës së rrugëtimit
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Rezulton se paketa duhet të dërgohet në një nga tunelet VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Rregulli i mëposhtëm i lejimit zbulohet në politikat e murit të zjarrit:
msg="Allowed by Policy-3:"
Paketa është e koduar dhe dërguar në tunelin VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Paketa e koduar dërgohet në adresën e portës për këtë ndërfaqe WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Për paketën e dytë, gjithçka ndodh në mënyrë të ngjashme, por ajo dërgohet në një tunel tjetër VPN dhe largohet përmes një porti tjetër të murit të zjarrit:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
TĂ« mirat e zgjidhjes
Funksionalitet i besueshëm dhe ndërfaqe miqësore për përdoruesit. Seti i veçorive që ishte i disponueshëm në FortiOS përpara ardhjes së SD-WAN është ruajtur plotësisht. Kjo do të thotë, ne nuk kemi softuer të sapo zhvilluar, por një sistem të pjekur nga një shitës i provuar i mureve të zjarrit. Me një grup tradicional funksionesh rrjeti, një ndërfaqe ueb të përshtatshme dhe të lehtë për t'u mësuar. Sa shitës SD-WAN kanë, të themi, funksionalitet VPN me qasje në distancë në pajisjet fundore?
Niveli i sigurisë 80. FortiGate është një nga zgjidhjet më të mira të murit të zjarrit. Ka shumë materiale në internet për vendosjen dhe administrimin e mureve të zjarrit, dhe në tregun e punës ka shumë specialistë të sigurisë që kanë zotëruar tashmë zgjidhjet e shitësit.
Ămimi zero pĂ«r funksionalitetin SD-WAN. NdĂ«rtimi i njĂ« rrjeti SD-WAN nĂ« FortiGate kushton njĂ«soj si ndĂ«rtimi i njĂ« rrjeti tĂ« rregullt WAN nĂ« tĂ«, pasi nuk nevojiten licenca shtesĂ« pĂ«r tĂ« zbatuar funksionalitetin SD-WAN.
Ămimi i ulĂ«t i pengesĂ«s sĂ« hyrjes. Fortigate ka njĂ« gradim tĂ« mirĂ« tĂ« pajisjeve pĂ«r nivele tĂ« ndryshme tĂ« performancĂ«s. Modelet mĂ« tĂ« reja dhe mĂ« tĂ« lira janĂ« mjaft tĂ« pĂ«rshtatshme pĂ«r zgjerimin e njĂ« zyre ose njĂ« pike shitjeje nga, tĂ« themi, 3-5 punonjĂ«s. ShumĂ« shitĂ«s thjesht nuk kanĂ« modele tĂ« tilla me performancĂ« tĂ« ulĂ«t dhe tĂ« pĂ«rballueshme.
Performanca e lartë Reduktimi i funksionalitetit SD-WAN në balancimin e trafikut i lejoi kompanisë të lëshojë një SD-WAN ASIC të specializuar, falë të cilit funksionimi SD-WAN nuk zvogëlon performancën e murit të zjarrit në tërësi.
Aftësia për të zbatuar një zyrë të tërë në pajisjet Fortinet. Këto janë një palë mure zjarri, ndërprerës, pika aksesi Wi-Fi. Një zyrë e tillë është e lehtë dhe e përshtatshme për t'u menaxhuar - çelsat dhe pikat e hyrjes regjistrohen në muret e zjarrit dhe menaxhohen prej tyre. Për shembull, kjo është se si mund të duket një port switch nga ndërfaqja e murit të zjarrit që kontrollon këtë ndërprerës:
Mungesa e kontrollorëve si një pikë e vetme dështimi. Vetë shitësi fokusohet në këtë, por kjo mund të quhet vetëm një përfitim pjesërisht, sepse për ata shitës që kanë kontrollues, sigurimi i tolerancës së tyre ndaj gabimeve është i lirë, më shpesh me çmimin e një sasie të vogël burimesh kompjuterike në një mjedis virtualizimi.
ĂfarĂ« tĂ« kĂ«rkoni
Nuk ka ndarje midis Planit të Kontrollit dhe Planit të të Dhënave. Kjo do të thotë që rrjeti duhet të konfigurohet ose manualisht ose duke përdorur mjetet tradicionale të menaxhimit tashmë të disponueshme - FortiManager. Për shitësit që kanë zbatuar një ndarje të tillë, rrjeti është mbledhur vetë. Administratorit mund t'i duhet vetëm të rregullojë topologjinë e tij, të ndalojë diçka diku, asgjë më shumë. Sidoqoftë, atuti i FortiManager është se ai mund të menaxhojë jo vetëm muret e zjarrit, por edhe çelsat dhe pikat e hyrjes Wi-Fi, domethënë pothuajse të gjithë rrjetin.
Rritje e kushtëzuar e kontrollueshmërisë. Për shkak të faktit se mjetet tradicionale përdoren për të automatizuar konfigurimin e rrjetit, menaxhueshmëria e rrjetit me futjen e SD-WAN rritet paksa. Nga ana tjetër, funksionaliteti i ri bëhet i disponueshëm më shpejt, pasi shitësi fillimisht e lëshon atë vetëm për sistemin operativ të murit të zjarrit (i cili menjëherë bën të mundur përdorimin e tij), dhe vetëm atëherë plotëson sistemin e menaxhimit me ndërfaqet e nevojshme.
Disa funksione mund të jenë të disponueshme nga linja e komandës, por nuk disponohen nga ndërfaqja e uebit. Ndonjëherë nuk është aq e frikshme të hysh në vijën e komandës për të konfiguruar diçka, por është e frikshme të mos shohësh në ndërfaqen e internetit që dikush tashmë ka konfiguruar diçka nga linja e komandës. Por kjo zakonisht vlen për veçoritë më të reja dhe gradualisht, me përditësimet e FortiOS, aftësitë e ndërfaqes në internet përmirësohen.
Për t'iu përshtatur
Për ata që nuk kanë shumë degë. Zbatimi i një zgjidhjeje SD-WAN me komponentë qendrorë kompleksë në një rrjet me 8-10 degë mund të mos kushtojë qiri - do t'ju duhet të shpenzoni para për licencat për pajisjet SD-WAN dhe burimet e sistemit të virtualizimit për të pritur komponentët qendrorë. Një kompani e vogël zakonisht ka burime të kufizuara kompjuterike falas. Në rastin e Fortinet, mjafton thjesht të blini mure zjarri.
Për ata që kanë shumë degë të vogla. Për shumë shitës, çmimi minimal i zgjidhjes për degë është mjaft i lartë dhe mund të mos jetë interesant nga pikëpamja e biznesit të klientit fundor. Fortinet ofron pajisje të vogla me çmime shumë tërheqëse.
Për ata që nuk janë ende gati të bëjnë shumë larg. Zbatimi i SD-WAN me kontrollues, drejtimi i pronarit dhe një qasje e re për planifikimin dhe menaxhimin e rrjetit mund të jetë një hap shumë i madh për disa klientë. Po, një zbatim i tillë përfundimisht do të ndihmojë në optimizimin e përdorimit të kanaleve të komunikimit dhe punës së administratorëve, por së pari do t'ju duhet të mësoni shumë gjëra të reja. Për ata që nuk janë ende gati për një ndryshim paradigme, por duan të nxjerrin më shumë nga kanalet e tyre të komunikimit, zgjidhja nga Fortinet është e duhura.
Burimi: www.habr.com