SD-WAN ద్వారా మాకు రావడం ప్రారంభించిన ప్రశ్నల సంఖ్యను బట్టి చూస్తే, సాంకేతికత రష్యాలో పూర్తిగా రూట్ తీసుకోవడం ప్రారంభించింది. విక్రేతలు, సహజంగా, నిద్రపోరు మరియు వారి భావనలను అందిస్తారు మరియు కొంతమంది ధైర్య పయినీర్లు ఇప్పటికే తమ నెట్వర్క్లలో వాటిని అమలు చేస్తున్నారు.
మేము దాదాపు అందరు విక్రేతలతో కలిసి పని చేస్తున్నాము మరియు మా ల్యాబొరేటరీలో నేను సాఫ్ట్వేర్-నిర్వచించిన పరిష్కారాల యొక్క ప్రతి ప్రధాన డెవలపర్ యొక్క నిర్మాణాన్ని లోతుగా పరిశోధించగలిగాను. ఫోర్టినెట్ నుండి SD-WAN ఇక్కడ కొద్దిగా వేరుగా ఉంది, ఇది ఫైర్వాల్ సాఫ్ట్వేర్లోకి కమ్యూనికేషన్ ఛానెల్ల మధ్య ట్రాఫిక్ను బ్యాలెన్స్ చేసే కార్యాచరణను రూపొందించింది. పరిష్కారం కాకుండా ప్రజాస్వామ్యం, కాబట్టి ఇది సాధారణంగా ప్రపంచ మార్పులకు ఇంకా సిద్ధంగా లేని కంపెనీలచే పరిగణించబడుతుంది, కానీ వారి కమ్యూనికేషన్ ఛానెల్లను మరింత సమర్థవంతంగా ఉపయోగించాలనుకుంటోంది.
ఈ ఆర్టికల్లో ఫోర్టినెట్ నుండి SD-WANని ఎలా కాన్ఫిగర్ చేయాలో మరియు పని చేయాలో నేను మీకు చెప్పాలనుకుంటున్నాను, ఈ పరిష్కారం ఎవరికి అనుకూలంగా ఉంటుంది మరియు మీరు ఇక్కడ ఎలాంటి ఆపదలను ఎదుర్కోవచ్చు.
SD-WAN మార్కెట్లోని అత్యంత ప్రముఖ ఆటగాళ్లను రెండు రకాల్లో ఒకటిగా వర్గీకరించవచ్చు:
1. మొదటి నుండి SD-WAN పరిష్కారాలను సృష్టించిన స్టార్టప్లు. వీటిలో అత్యంత విజయవంతమైనవి పెద్ద కంపెనీలచే కొనుగోలు చేయబడిన తర్వాత అభివృద్ధికి భారీ ప్రోత్సాహాన్ని అందిస్తాయి - ఇది Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia కథ
2. SD-WAN సొల్యూషన్లను సృష్టించిన పెద్ద నెట్వర్క్ విక్రేతలు, వారి సాంప్రదాయ రూటర్ల ప్రోగ్రామబిలిటీ మరియు మేనేజ్మెంట్ను అభివృద్ధి చేస్తారు - ఇది జునిపెర్, హువావే కథ
ఫోర్టినెట్ దాని మార్గాన్ని కనుగొనగలిగింది. ఫైర్వాల్ సాఫ్ట్వేర్ అంతర్నిర్మిత కార్యాచరణను కలిగి ఉంది, ఇది వారి ఇంటర్ఫేస్లను వర్చువల్ ఛానెల్లుగా కలపడం మరియు సాంప్రదాయ రూటింగ్తో పోలిస్తే సంక్లిష్ట అల్గారిథమ్లను ఉపయోగించి వాటి మధ్య లోడ్ను సమతుల్యం చేయడం సాధ్యం చేసింది. ఈ కార్యాచరణను SD-WAN అని పిలుస్తారు. ఫోర్టినెట్ని SD-WAN అని పిలవవచ్చా? సాఫ్ట్వేర్-నిర్వచించబడినది అంటే డేటా ప్లేన్, అంకితమైన కంట్రోలర్లు మరియు ఆర్కెస్ట్రేటర్ల నుండి కంట్రోల్ ప్లేన్ను వేరు చేయడం అని మార్కెట్ క్రమంగా అర్థం చేసుకుంటోంది. ఫోర్టినెట్లో అలాంటిదేమీ లేదు. కేంద్రీకృత నిర్వహణ ఐచ్ఛికం మరియు సాంప్రదాయ ఫోర్టిమేనేజర్ సాధనం ద్వారా అందించబడుతుంది. కానీ నా అభిప్రాయం ప్రకారం, మీరు నైరూప్య సత్యం కోసం వెతకకూడదు మరియు నిబంధనల గురించి వాదిస్తూ సమయాన్ని వృథా చేయకూడదు. వాస్తవ ప్రపంచంలో, ప్రతి విధానానికి దాని ప్రయోజనాలు మరియు అప్రయోజనాలు ఉన్నాయి. వాటిని అర్థం చేసుకోవడం మరియు పనులకు అనుగుణంగా పరిష్కారాలను ఎంచుకోవడం ఉత్తమ మార్గం.
ఫోర్టినెట్ నుండి SD-WAN ఎలా ఉంటుందో మరియు అది ఏమి చేయగలదో నేను స్క్రీన్షాట్లతో మీకు చెప్పడానికి ప్రయత్నిస్తాను.
ప్రతిదీ ఎలా పని చేస్తుంది
మీరు రెండు డేటా ఛానెల్ల ద్వారా కనెక్ట్ చేయబడిన రెండు శాఖలను కలిగి ఉన్నారని అనుకుందాం. ఈ డేటా లింక్లు సాధారణ ఈథర్నెట్ ఇంటర్ఫేస్లు LACP-Port-Channelలో ఎలా మిళితం చేయబడతాయో అదే విధంగా సమూహంగా మిళితం చేయబడ్డాయి. పాత-టైమర్లు PPP మల్టీలింక్ని గుర్తుంచుకుంటారు - ఇది కూడా తగిన సారూప్యత. ఛానెల్లు భౌతిక పోర్ట్లు, VLAN SVI, అలాగే VPN లేదా GRE టన్నెల్లు కావచ్చు.
ఇంటర్నెట్ ద్వారా బ్రాంచ్ లోకల్ నెట్వర్క్లను కనెక్ట్ చేసేటప్పుడు VPN లేదా GRE సాధారణంగా ఉపయోగించబడతాయి. మరియు భౌతిక పోర్ట్లు - సైట్ల మధ్య L2 కనెక్షన్లు ఉన్నట్లయితే లేదా అంకితమైన MPLS/VPN ద్వారా కనెక్ట్ చేస్తున్నప్పుడు, అతివ్యాప్తి మరియు ఎన్క్రిప్షన్ లేకుండా కనెక్షన్తో మనం సంతృప్తి చెందితే. SD-WAN సమూహంలో భౌతిక పోర్ట్లు ఉపయోగించబడే మరొక దృశ్యం ఇంటర్నెట్కు వినియోగదారుల స్థానిక ప్రాప్యతను బ్యాలెన్స్ చేయడం.
మా స్టాండ్లో రెండు "కమ్యూనికేషన్ ఆపరేటర్లు" ద్వారా నాలుగు ఫైర్వాల్లు మరియు రెండు VPN సొరంగాలు పనిచేస్తున్నాయి. రేఖాచిత్రం ఇలా కనిపిస్తుంది:
VPN టన్నెల్లు ఇంటర్ఫేస్ మోడ్లో కాన్ఫిగర్ చేయబడ్డాయి, తద్వారా అవి P2P ఇంటర్ఫేస్లలో IP చిరునామాలతో పరికరాల మధ్య పాయింట్-టు-పాయింట్ కనెక్షన్ల మాదిరిగానే ఉంటాయి, నిర్దిష్ట టన్నెల్ ద్వారా కమ్యూనికేషన్ పని చేస్తుందని నిర్ధారించడానికి పింగ్ చేయవచ్చు. ట్రాఫిక్ ఎన్క్రిప్ట్ చేయబడి, ఎదురుగా వెళ్లాలంటే, దాన్ని సొరంగంలోకి మళ్లిస్తే సరిపోతుంది. సబ్నెట్ల జాబితాలను ఉపయోగించి ఎన్క్రిప్షన్ కోసం ట్రాఫిక్ను ఎంచుకోవడం ప్రత్యామ్నాయం, ఇది కాన్ఫిగరేషన్ మరింత క్లిష్టంగా మారడంతో నిర్వాహకుడిని బాగా గందరగోళానికి గురి చేస్తుంది. పెద్ద నెట్వర్క్లో, మీరు VPNని రూపొందించడానికి ADVPN సాంకేతికతను ఉపయోగించవచ్చు; ఇది Cisco నుండి DMVPN లేదా Huawei నుండి DVPN యొక్క అనలాగ్, ఇది సులభంగా సెటప్ చేయడానికి అనుమతిస్తుంది.
రెండు వైపులా BGP రూటింగ్తో రెండు పరికరాల కోసం సైట్-టు-సైట్ VPN కాన్ఫిగర్
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
నేను టెక్స్ట్ రూపంలో కాన్ఫిగర్ని అందిస్తున్నాను, ఎందుకంటే, నా అభిప్రాయం ప్రకారం, VPNని ఈ విధంగా కాన్ఫిగర్ చేయడం మరింత సౌకర్యవంతంగా ఉంటుంది. దాదాపు అన్ని సెట్టింగ్లు రెండు వైపులా ఒకే విధంగా ఉంటాయి; వాటిని టెక్స్ట్ రూపంలో కాపీ-పేస్ట్గా తయారు చేయవచ్చు. మీరు వెబ్ ఇంటర్ఫేస్లో అదే పనిని చేస్తే, పొరపాటు చేయడం సులభం - ఎక్కడో చెక్మార్క్ను మరచిపోండి, తప్పు విలువను నమోదు చేయండి.
మేము బండిల్కు ఇంటర్ఫేస్లను జోడించిన తర్వాత
అన్ని మార్గాలు మరియు భద్రతా విధానాలు దీనిని సూచించగలవు మరియు దానిలో చేర్చబడిన ఇంటర్ఫేస్లకు కాదు. కనీసం, మీరు అంతర్గత నెట్వర్క్ల నుండి SD-WANకి ట్రాఫిక్ను అనుమతించాలి. మీరు వారి కోసం నియమాలను రూపొందించినప్పుడు, మీరు IPS, యాంటీవైరస్ మరియు HTTPS బహిర్గతం వంటి రక్షణ చర్యలను వర్తింపజేయవచ్చు.
SD-WAN నియమాలు బండిల్ కోసం కాన్ఫిగర్ చేయబడ్డాయి. ఇవి నిర్దిష్ట ట్రాఫిక్ కోసం బ్యాలెన్సింగ్ అల్గారిథమ్ను నిర్వచించే నియమాలు. అవి పాలసీ-ఆధారిత రౌటింగ్లోని రూటింగ్ విధానాలను పోలి ఉంటాయి, పాలసీ కింద ట్రాఫిక్ తగ్గడం వల్ల మాత్రమే, ఇది ఇన్స్టాల్ చేయబడిన తదుపరి-హాప్ లేదా సాధారణ అవుట్గోయింగ్ ఇంటర్ఫేస్ కాదు, SD-WAN బండిల్ ప్లస్కి జోడించబడిన ఇంటర్ఫేస్లు ఈ ఇంటర్ఫేస్ల మధ్య ట్రాఫిక్ బ్యాలెన్సింగ్ అల్గోరిథం.
గుర్తించబడిన అప్లికేషన్లు, ఇంటర్నెట్ సేవలు (URL మరియు IP), అలాగే వర్క్స్టేషన్లు మరియు ల్యాప్టాప్ల గుర్తింపు పొందిన వినియోగదారుల ద్వారా ట్రాఫిక్ను సాధారణ ప్రవాహం నుండి L3-L4 సమాచారం ద్వారా వేరు చేయవచ్చు. దీని తర్వాత, కేటాయించిన ట్రాఫిక్కు కింది బ్యాలెన్సింగ్ అల్గారిథమ్లలో ఒకదాన్ని కేటాయించవచ్చు:
ఇంటర్ఫేస్ ప్రాధాన్యత జాబితాలో, ఈ రకమైన ట్రాఫిక్ను అందించే బండిల్కి ఇప్పటికే జోడించబడిన ఇంటర్ఫేస్లు ఎంచుకోబడ్డాయి. అన్ని ఇంటర్ఫేస్లను జోడించడం ద్వారా, మీరు ఖరీదైన ఛానెల్లను అధిక SLAతో భారం చేయకూడదనుకుంటే, మీరు ఉపయోగించే ఛానెల్లను ఖచ్చితంగా పరిమితం చేయవచ్చు, చెప్పండి, ఇమెయిల్ చేయండి. FortiOS 6.4.1లో, SD-WAN బండిల్కు జోడించిన ఇంటర్ఫేస్లను జోన్లుగా సమూహపరచడం సాధ్యమైంది, ఉదాహరణకు, రిమోట్ సైట్లతో కమ్యూనికేషన్ కోసం ఒక జోన్ మరియు NATని ఉపయోగించి స్థానిక ఇంటర్నెట్ యాక్సెస్ కోసం మరొక జోన్ను సృష్టించడం. అవును, అవును, సాధారణ ఇంటర్నెట్కు వెళ్లే ట్రాఫిక్ కూడా సమతుల్యంగా ఉంటుంది.
బ్యాలెన్సింగ్ అల్గారిథమ్ల గురించి
ఫోర్టిగేట్ (ఫోర్టినెట్ నుండి ఫైర్వాల్) ఛానెల్ల మధ్య ట్రాఫిక్ను ఎలా విభజించగలదనే దాని గురించి, మార్కెట్లో చాలా సాధారణం కాని రెండు ఆసక్తికరమైన ఎంపికలు ఉన్నాయి:
అతి తక్కువ ధర (SLA) - ప్రస్తుతానికి SLAని సంతృప్తిపరిచే అన్ని ఇంటర్ఫేస్ల నుండి, తక్కువ బరువుతో (ధర), అడ్మినిస్ట్రేటర్ మాన్యువల్గా సెట్ చేసినది ఎంచుకోబడుతుంది; ఈ మోడ్ బ్యాకప్లు మరియు ఫైల్ బదిలీల వంటి "బల్క్" ట్రాఫిక్కు అనుకూలంగా ఉంటుంది.
ఉత్తమ నాణ్యత (SLA) – ఈ అల్గారిథమ్, ఫోర్టిగేట్ ప్యాకెట్ల సాధారణ ఆలస్యం, గందరగోళం మరియు నష్టంతో పాటు, ఛానెల్ల నాణ్యతను అంచనా వేయడానికి ప్రస్తుత ఛానెల్ లోడ్ను కూడా ఉపయోగించవచ్చు; ఈ మోడ్ VoIP మరియు వీడియో కాన్ఫరెన్సింగ్ వంటి సున్నితమైన ట్రాఫిక్కు అనుకూలంగా ఉంటుంది.
ఈ అల్గారిథమ్లకు కమ్యూనికేషన్ ఛానెల్ పనితీరు మీటర్ - పనితీరు SLAని సెటప్ చేయడం అవసరం. ఈ మీటర్ క్రమానుగతంగా (విరామాన్ని తనిఖీ చేయడం) SLAకి సమ్మతి గురించి సమాచారాన్ని పర్యవేక్షిస్తుంది: కమ్యూనికేషన్ ఛానెల్లో ప్యాకెట్ నష్టం, ఆలస్యం (జాప్యం) మరియు జిట్టర్ (జిట్టర్) మరియు ప్రస్తుతం నాణ్యత థ్రెషోల్డ్లను అందుకోలేని ఛానెల్లను "తిరస్కరిస్తుంది" - అవి కోల్పోతున్నాయి చాలా ప్యాకెట్లు లేదా చాలా జాప్యాన్ని అనుభవిస్తున్నారు. అదనంగా, మీటర్ ఛానెల్ యొక్క స్థితిని పర్యవేక్షిస్తుంది మరియు ప్రతిస్పందనల పునరావృత నష్టం (క్రియారహితంగా ఉండే ముందు వైఫల్యాలు) విషయంలో తాత్కాలికంగా దాన్ని బండిల్ నుండి తీసివేయవచ్చు. పునరుద్ధరించబడినప్పుడు, అనేక వరుస ప్రతిస్పందనల తర్వాత (తర్వాత లింక్ను పునరుద్ధరించండి), మీటర్ స్వయంచాలకంగా ఛానెల్ని బండిల్కి తిరిగి ఇస్తుంది మరియు దాని ద్వారా డేటా మళ్లీ ప్రసారం చేయడం ప్రారంభమవుతుంది.
"మీటర్" సెట్టింగ్ ఇలా కనిపిస్తుంది:
వెబ్ ఇంటర్ఫేస్లో, ICMP-Echo-request, HTTP-GET మరియు DNS అభ్యర్థన పరీక్ష ప్రోటోకాల్లుగా అందుబాటులో ఉన్నాయి. కమాండ్ లైన్లో మరికొన్ని ఎంపికలు ఉన్నాయి: TCP-echo మరియు UDP-echo ఎంపికలు అందుబాటులో ఉన్నాయి, అలాగే ప్రత్యేక నాణ్యత కొలత ప్రోటోకాల్ - TWAMP.
కొలత ఫలితాలు వెబ్ ఇంటర్ఫేస్లో కూడా చూడవచ్చు:
మరియు కమాండ్ లైన్లో:
సమస్య పరిష్కరించు
మీరు ఒక నియమాన్ని సృష్టించినప్పటికీ, ప్రతిదీ ఊహించిన విధంగా పని చేయకపోతే, మీరు SD-WAN నియమాల జాబితాలోని హిట్ కౌంట్ విలువను చూడాలి. ట్రాఫిక్ ఈ నియమంలోకి వస్తుందో లేదో ఇది చూపుతుంది:
మీటర్ యొక్క సెట్టింగ్ల పేజీలోనే, మీరు కాలక్రమేణా ఛానెల్ పారామితులలో మార్పును చూడవచ్చు. చుక్కల పంక్తి పరామితి యొక్క థ్రెషోల్డ్ విలువను సూచిస్తుంది
వెబ్ ఇంటర్ఫేస్లో మీరు ప్రసారం చేయబడిన/స్వీకరించబడిన డేటా మొత్తం మరియు సెషన్ల సంఖ్య ద్వారా ట్రాఫిక్ ఎలా పంపిణీ చేయబడుతుందో చూడవచ్చు:
వీటన్నింటికీ అదనంగా, గరిష్ట వివరాలతో ప్యాకెట్ల మార్గాన్ని ట్రాక్ చేయడానికి అద్భుతమైన అవకాశం ఉంది. నిజమైన నెట్వర్క్లో పని చేస్తున్నప్పుడు, పరికర కాన్ఫిగరేషన్ అనేక రౌటింగ్ విధానాలు, ఫైర్వాల్లింగ్ మరియు SD-WAN పోర్ట్లలో ట్రాఫిక్ పంపిణీని కూడగట్టుకుంటుంది. ఇవన్నీ ఒకదానితో ఒకటి సంక్లిష్టమైన రీతిలో సంకర్షణ చెందుతాయి మరియు విక్రేత ప్యాకెట్ ప్రాసెసింగ్ అల్గారిథమ్ల యొక్క వివరణాత్మక బ్లాక్ రేఖాచిత్రాలను అందించినప్పటికీ, సిద్ధాంతాలను రూపొందించకుండా మరియు పరీక్షించకుండా ఉండటం చాలా ముఖ్యం, అయితే ట్రాఫిక్ వాస్తవానికి ఎక్కడికి వెళుతుందో చూడటం.
ఉదాహరణకు, కింది ఆదేశాల సమితి
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
10.200.64.15 మూల చిరునామా మరియు 10.1.7.2 గమ్యస్థాన చిరునామాతో రెండు ప్యాకెట్లను ట్రాక్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
మేము 10.7.1.2 ను 10.200.64.15 నుండి రెండుసార్లు పింగ్ చేస్తాము మరియు కన్సోల్లోని అవుట్పుట్ను చూడండి.
మొదటి ప్యాకేజీ:
రెండవ ప్యాకేజీ:
ఫైర్వాల్ అందుకున్న మొదటి ప్యాకెట్ ఇక్కడ ఉంది:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
అతని కోసం కొత్త సెషన్ సృష్టించబడింది:
msg="allocate a new session-0006a627"
మరియు రూటింగ్ విధాన సెట్టింగ్లలో సరిపోలిక కనుగొనబడింది
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
ప్యాకెట్ని VPN టన్నెల్లలో ఒకదానికి పంపాల్సిన అవసరం ఉందని తేలింది:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
కింది అనుమతించే నియమం ఫైర్వాల్ విధానాలలో కనుగొనబడింది:
msg="Allowed by Policy-3:"
ప్యాకెట్ గుప్తీకరించబడింది మరియు VPN టన్నెల్కు పంపబడుతుంది:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
ఈ WAN ఇంటర్ఫేస్ కోసం గుప్తీకరించిన ప్యాకెట్ గేట్వే చిరునామాకు పంపబడుతుంది:
msg="send to 2.2.2.2 via intf-WAN1"
రెండవ ప్యాకెట్ కోసం, ప్రతిదీ అదే విధంగా జరుగుతుంది, కానీ అది మరొక VPN టన్నెల్కి పంపబడుతుంది మరియు వేరే ఫైర్వాల్ పోర్ట్ ద్వారా వెళ్లిపోతుంది:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
పరిష్కారం యొక్క ప్రోస్
విశ్వసనీయ కార్యాచరణ మరియు వినియోగదారు-స్నేహపూర్వక ఇంటర్ఫేస్. SD-WAN రాకముందు FortiOSలో అందుబాటులో ఉన్న ఫీచర్ సెట్ పూర్తిగా భద్రపరచబడింది. అంటే, మేము కొత్తగా అభివృద్ధి చేసిన సాఫ్ట్వేర్ను కలిగి లేము, కానీ నిరూపితమైన ఫైర్వాల్ విక్రేత నుండి పరిణతి చెందిన సిస్టమ్. నెట్వర్క్ ఫంక్షన్ల సాంప్రదాయ సెట్తో, అనుకూలమైన మరియు సులభంగా నేర్చుకోగల వెబ్ ఇంటర్ఫేస్. ఎండ్ డివైజ్లలో ఎంతమంది SD-WAN విక్రేతలు రిమోట్ యాక్సెస్ VPN ఫంక్షనాలిటీని కలిగి ఉన్నారు?
భద్రతా స్థాయి 80. FortiGate అగ్ర ఫైర్వాల్ పరిష్కారాలలో ఒకటి. ఫైర్వాల్లను సెటప్ చేయడం మరియు నిర్వహించడం గురించి ఇంటర్నెట్లో చాలా విషయాలు ఉన్నాయి మరియు లేబర్ మార్కెట్లో ఇప్పటికే విక్రేత యొక్క పరిష్కారాలను స్వాధీనం చేసుకున్న చాలా మంది భద్రతా నిపుణులు ఉన్నారు.
SD-WAN కార్యాచరణకు సున్నా ధర. FortiGateలో SD-WAN నెట్వర్క్ను నిర్మించడం అనేది దానిపై సాధారణ WAN నెట్వర్క్ను నిర్మించడం వలెనే ఖర్చవుతుంది, ఎందుకంటే SD-WAN కార్యాచరణను అమలు చేయడానికి అదనపు లైసెన్స్లు అవసరం లేదు.
తక్కువ ప్రవేశ అవరోధం ధర. ఫోర్టిగేట్ విభిన్న పనితీరు స్థాయిల కోసం పరికరాల యొక్క మంచి స్థాయిని కలిగి ఉంది. 3-5 మంది ఉద్యోగులతో ఆఫీసు లేదా పాయింట్ ఆఫ్ సేల్ని విస్తరించడానికి చిన్నదైన మరియు అత్యంత చవకైన మోడల్లు చాలా అనుకూలంగా ఉంటాయి. చాలా మంది విక్రేతలు అటువంటి తక్కువ-పనితీరు మరియు సరసమైన నమూనాలను కలిగి లేరు.
అధిక పనితీరు. SD-WAN కార్యాచరణను ట్రాఫిక్ బ్యాలెన్సింగ్కు తగ్గించడం వలన కంపెనీ ప్రత్యేకమైన SD-WAN ASICని విడుదల చేయడానికి అనుమతించింది, దీనికి ధన్యవాదాలు SD-WAN ఆపరేషన్ మొత్తం ఫైర్వాల్ పనితీరును తగ్గించదు.
ఫోర్టినెట్ పరికరాలపై మొత్తం కార్యాలయాన్ని అమలు చేయగల సామర్థ్యం. ఇవి ఒక జత ఫైర్వాల్లు, స్విచ్లు, Wi-Fi యాక్సెస్ పాయింట్లు. అటువంటి కార్యాలయం నిర్వహించడం సులభం మరియు సౌకర్యవంతంగా ఉంటుంది - స్విచ్లు మరియు యాక్సెస్ పాయింట్లు ఫైర్వాల్లలో నమోదు చేయబడతాయి మరియు వాటి నుండి నిర్వహించబడతాయి. ఉదాహరణకు, ఈ స్విచ్ని నియంత్రించే ఫైర్వాల్ ఇంటర్ఫేస్ నుండి స్విచ్ పోర్ట్ ఇలా కనిపిస్తుంది:
వైఫల్యం యొక్క ఒకే పాయింట్ వంటి కంట్రోలర్లు లేకపోవడం. విక్రేత స్వయంగా దీనిపై దృష్టి సారిస్తాడు, కానీ దీనిని కొంత భాగం మాత్రమే ప్రయోజనం అని పిలుస్తారు, ఎందుకంటే కంట్రోలర్లను కలిగి ఉన్న విక్రేతలకు, వారి తప్పు సహనం చవకైనదని నిర్ధారించడం చాలా తరచుగా వర్చువలైజేషన్ వాతావరణంలో తక్కువ మొత్తంలో కంప్యూటింగ్ వనరుల ధర వద్ద ఉంటుంది.
ఏమి చూడాలి
కంట్రోల్ ప్లేన్ మరియు డేటా ప్లేన్ మధ్య విభజన లేదు. దీనర్థం నెట్వర్క్ తప్పనిసరిగా మాన్యువల్గా కాన్ఫిగర్ చేయబడాలి లేదా ఇప్పటికే అందుబాటులో ఉన్న సాంప్రదాయ నిర్వహణ సాధనాలను ఉపయోగించడం - FortiManager. అటువంటి విభజనను అమలు చేసిన విక్రేతల కోసం, నెట్వర్క్ స్వయంగా సమీకరించబడుతుంది. అడ్మినిస్ట్రేటర్ దాని టోపోలాజీని మాత్రమే సర్దుబాటు చేయాల్సి ఉంటుంది, ఎక్కడో ఏదైనా నిషేధించండి, అంతకు మించి ఏమీ లేదు. అయితే, FortiManager యొక్క ట్రంప్ కార్డ్ ఏమిటంటే, ఇది ఫైర్వాల్లను మాత్రమే కాకుండా, స్విచ్లు మరియు Wi-Fi యాక్సెస్ పాయింట్లను కూడా నిర్వహించగలదు, అంటే దాదాపు మొత్తం నెట్వర్క్ను.
నియంత్రణలో షరతులతో కూడిన పెరుగుదల. నెట్వర్క్ కాన్ఫిగరేషన్ను ఆటోమేట్ చేయడానికి సాంప్రదాయ సాధనాలు ఉపయోగించబడుతున్నందున, SD-WAN పరిచయంతో నెట్వర్క్ నిర్వహణ కొద్దిగా పెరుగుతుంది. మరోవైపు, కొత్త ఫంక్షనాలిటీ వేగంగా అందుబాటులోకి వస్తుంది, ఎందుకంటే విక్రేత మొదట ఫైర్వాల్ ఆపరేటింగ్ సిస్టమ్ కోసం మాత్రమే విడుదల చేస్తాడు (దీనిని వెంటనే ఉపయోగించడం సాధ్యమవుతుంది), ఆపై మాత్రమే నిర్వహణ వ్యవస్థను అవసరమైన ఇంటర్ఫేస్లతో భర్తీ చేస్తుంది.
కమాండ్ లైన్ నుండి కొంత కార్యాచరణ అందుబాటులో ఉండవచ్చు, కానీ వెబ్ ఇంటర్ఫేస్ నుండి అందుబాటులో ఉండదు. కొన్నిసార్లు ఏదైనా కాన్ఫిగర్ చేయడానికి కమాండ్ లైన్లోకి వెళ్లడం చాలా భయానకంగా లేదు, కానీ ఎవరైనా ఇప్పటికే కమాండ్ లైన్ నుండి ఏదైనా కాన్ఫిగర్ చేసినట్లు వెబ్ ఇంటర్ఫేస్లో చూడకపోవడం భయానకంగా ఉంది. కానీ ఇది సాధారణంగా సరికొత్త ఫీచర్లకు వర్తిస్తుంది మరియు క్రమంగా, FortiOS అప్డేట్లతో, వెబ్ ఇంటర్ఫేస్ సామర్థ్యాలు మెరుగుపడతాయి.
ఎవరు సరిపోతారు
చాలా శాఖలు లేని వారికి. 8-10 శాఖల నెట్వర్క్లో సంక్లిష్టమైన కేంద్ర భాగాలతో SD-WAN పరిష్కారాన్ని అమలు చేయడం వల్ల కొవ్వొత్తి ఖర్చు కాకపోవచ్చు - మీరు సెంట్రల్ భాగాలను హోస్ట్ చేయడానికి SD-WAN పరికరాలు మరియు వర్చువలైజేషన్ సిస్టమ్ వనరుల కోసం లైసెన్స్లపై డబ్బు ఖర్చు చేయాల్సి ఉంటుంది. ఒక చిన్న కంపెనీ సాధారణంగా పరిమిత ఉచిత కంప్యూటింగ్ వనరులను కలిగి ఉంటుంది. ఫోర్టినెట్ విషయంలో, కేవలం ఫైర్వాల్లను కొనుగోలు చేస్తే సరిపోతుంది.
చాలా చిన్న శాఖలు ఉన్నవారికి. చాలా మంది విక్రేతల కోసం, ఒక్కో బ్రాంచ్కి కనీస పరిష్కార ధర చాలా ఎక్కువగా ఉంటుంది మరియు తుది కస్టమర్ వ్యాపారం దృష్ట్యా ఆసక్తికరంగా ఉండకపోవచ్చు. ఫోర్టినెట్ చాలా ఆకర్షణీయమైన ధరలకు చిన్న పరికరాలను అందిస్తుంది.
ఇంకా ఎక్కువ అడుగు వేయడానికి సిద్ధంగా లేని వారికి. కంట్రోలర్లు, యాజమాన్య రూటింగ్ మరియు నెట్వర్క్ ప్లానింగ్ మరియు మేనేజ్మెంట్కి కొత్త విధానంతో SD-WANని అమలు చేయడం కొంతమంది కస్టమర్లకు చాలా పెద్ద దశగా ఉండవచ్చు. అవును, అటువంటి అమలు చివరికి కమ్యూనికేషన్ ఛానెల్ల వినియోగాన్ని మరియు నిర్వాహకుల పనిని ఆప్టిమైజ్ చేయడంలో సహాయపడుతుంది, అయితే మొదట మీరు చాలా కొత్త విషయాలను నేర్చుకోవాలి. ఒక నమూనా మార్పు కోసం ఇంకా సిద్ధంగా లేని, కానీ వారి కమ్యూనికేషన్ ఛానెల్ల నుండి మరింత ఎక్కువగా ఉపయోగించాలనుకునే వారికి, Fortinet నుండి పరిష్కారం సరైనది.
మూలం: www.habr.com