การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

เมื่อพิจารณาจากจำนวนคำถามที่เริ่มมาถึงเราผ่านทาง SD-WAN เทคโนโลยีได้เริ่มหยั่งรากลึกในรัสเซียแล้ว ผู้ขายมักจะไม่หลับใหลและนำเสนอแนวคิดของตน และผู้บุกเบิกที่กล้าหาญบางคนก็นำแนวคิดเหล่านี้ไปใช้งานบนเครือข่ายของตนแล้ว

เราทำงานร่วมกับผู้จำหน่ายเกือบทั้งหมด และในช่วงหลายปีที่ผ่านมาในห้องปฏิบัติการของเรา ฉันสามารถเจาะลึกสถาปัตยกรรมของผู้พัฒนาโซลูชันที่กำหนดโดยซอฟต์แวร์รายใหญ่ทุกราย SD-WAN จาก Fortinet มีความโดดเด่นเพียงเล็กน้อย ซึ่งเพียงแค่สร้างฟังก์ชันการสร้างสมดุลการรับส่งข้อมูลระหว่างช่องทางการสื่อสารลงในซอฟต์แวร์ไฟร์วอลล์ วิธีแก้ปัญหานี้ค่อนข้างเป็นประชาธิปไตย ดังนั้นจึงมักจะพิจารณาโดยบริษัทที่ยังไม่พร้อมสำหรับการเปลี่ยนแปลงระดับโลก แต่ต้องการใช้ช่องทางการสื่อสารของตนอย่างมีประสิทธิภาพมากขึ้น

ในบทความนี้ ฉันอยากจะบอกวิธีกำหนดค่าและทำงานกับ SD-WAN จาก Fortinet ว่าโซลูชันนี้เหมาะกับใครและคุณอาจพบข้อผิดพลาดอะไรบ้างที่นี่

ผู้เล่นที่โดดเด่นที่สุดในตลาด SD-WAN สามารถจำแนกได้เป็นสองประเภท:

1. สตาร์ทอัพที่สร้างโซลูชัน SD-WAN ตั้งแต่เริ่มต้น ความสำเร็จสูงสุดของสิ่งเหล่านี้ได้รับแรงผลักดันอย่างมากในการพัฒนาหลังจากถูกซื้อโดยบริษัทขนาดใหญ่ - นี่คือเรื่องราวของ Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia

2. ผู้จำหน่ายเครือข่ายขนาดใหญ่ที่สร้างโซลูชัน SD-WAN พัฒนาความสามารถในการตั้งโปรแกรมและความสามารถในการจัดการของเราเตอร์แบบเดิม - นี่คือเรื่องราวของ Juniper, Huawei

Fortinet สามารถหาทางได้ ซอฟต์แวร์ไฟร์วอลล์มีฟังก์ชันการทำงานในตัวที่ทำให้สามารถรวมอินเทอร์เฟซเข้ากับช่องทางเสมือน และสร้างสมดุลโหลดระหว่างอินเทอร์เฟซเหล่านั้นโดยใช้อัลกอริธึมที่ซับซ้อนเมื่อเปรียบเทียบกับการกำหนดเส้นทางทั่วไป ฟังก์ชันนี้เรียกว่า SD-WAN สิ่งที่ Fortinet สามารถเรียกว่า SD-WAN ได้หรือไม่ ตลาดกำลังทำความเข้าใจว่า Software-Defined หมายถึงการแยกส่วนควบคุมออกจาก Data Plane ตัวควบคุมเฉพาะ และผู้ควบคุม Fortinet ไม่มีอะไรแบบนั้น การจัดการแบบรวมศูนย์เป็นทางเลือกและนำเสนอผ่านเครื่องมือ Fortimanager แบบดั้งเดิม แต่ในความคิดของฉัน คุณไม่ควรมองหาความจริงที่เป็นนามธรรมและเสียเวลาในการโต้เถียงเกี่ยวกับคำศัพท์ ในโลกแห่งความเป็นจริง แต่ละวิธีมีข้อดีและข้อเสียของตัวเอง วิธีที่ดีที่สุดคือการทำความเข้าใจและสามารถเลือกวิธีแก้ปัญหาที่สอดคล้องกับงานได้

ฉันจะพยายามบอกคุณด้วยภาพหน้าจอในมือว่า SD-WAN จาก Fortinet หน้าตาเป็นอย่างไร และมันทำอะไรได้บ้าง

ทุกอย่างทำงานอย่างไร

สมมติว่าคุณมีสำนักงานสาขา 2 แห่งที่เชื่อมต่อกันด้วยลิงก์ข้อมูล 2 ลิงก์ ลิงก์ข้อมูลเหล่านี้ถูกจัดกลุ่มเข้าด้วยกัน คล้ายกับวิธีที่อินเทอร์เฟซอีเธอร์เน็ตทั่วไปถูกจัดกลุ่มเข้าด้วยกันใน LACP-Port-Channel ผู้ที่มีประสบการณ์มาก่อนอาจจำ PPP Multilink ได้ ซึ่งเป็นอีกตัวอย่างที่เหมาะสม ลิงก์เหล่านี้อาจเป็นพอร์ตทางกายภาพ, VLAN SVI และอื่นๆ VPN หรืออุโมงค์ GRE

โดยทั่วไปจะใช้ VPN หรือ GRE เมื่อเชื่อมต่อเครือข่ายท้องถิ่นของสาขาผ่านอินเทอร์เน็ต และพอร์ตทางกายภาพ - หากมีการเชื่อมต่อ L2 ระหว่างไซต์ หรือเมื่อเชื่อมต่อผ่าน MPLS/VPN เฉพาะ หากเราพอใจกับการเชื่อมต่อที่ไม่มีการซ้อนทับและการเข้ารหัส อีกสถานการณ์หนึ่งที่ใช้พอร์ตจริงในกลุ่ม SD-WAN กำลังสร้างสมดุลในการเข้าถึงอินเทอร์เน็ตของผู้ใช้ในเครื่อง

ที่จุดยืนของเรามีไฟร์วอลล์สี่ตัวและอุโมงค์ VPN สองแห่งที่ทำงานผ่าน "ผู้ให้บริการการสื่อสาร" สองราย แผนภาพมีลักษณะดังนี้:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

อุโมงค์ VPN ได้รับการกำหนดค่าในโหมดอินเทอร์เฟซเพื่อให้คล้ายกับการเชื่อมต่อแบบจุดต่อจุดระหว่างอุปกรณ์ที่มีที่อยู่ IP บนอินเทอร์เฟซ P2P ซึ่งสามารถส่ง Ping เพื่อให้แน่ใจว่าการสื่อสารผ่านอุโมงค์เฉพาะทำงานได้ เพื่อให้การรับส่งข้อมูลได้รับการเข้ารหัสและไปฝั่งตรงข้าม ก็เพียงพอที่จะกำหนดเส้นทางเข้าไปในอุโมงค์ อีกทางเลือกหนึ่งคือเลือกการรับส่งข้อมูลสำหรับการเข้ารหัสโดยใช้รายการเครือข่ายย่อย ซึ่งทำให้ผู้ดูแลระบบสับสนอย่างมากเนื่องจากการกำหนดค่ามีความซับซ้อนมากขึ้น ในเครือข่ายขนาดใหญ่ คุณสามารถใช้เทคโนโลยี ADVPN เพื่อสร้าง VPN ได้ ซึ่งเป็นอะนาล็อกของ DMVPN จาก Cisco หรือ DVPN จาก Huawei ซึ่งช่วยให้การตั้งค่าง่ายขึ้น

การกำหนดค่า Site-to-Site VPN สำหรับอุปกรณ์สองตัวที่มีการกำหนดเส้นทาง BGP ทั้งสองด้าน

“ศูนย์ข้อมูล” (DC)
“สาขา” (บีอาร์เอ็น)

อินเตอร์เฟซระบบการตั้งค่า
 แก้ไข "WAN1"
  ตั้งค่า vdom "อินเตอร์เน็ต"
  ตั้งไอพี 1.1.1.1 255.255.255.252
  ตั้งค่า allowaccess ping
  ตั้งค่าบทบาทวัน
  ตั้งค่าอินเทอร์เฟซ "DC-BRD"
  เซ็ตวลาดิมีร์ 111
 ถัดไป
 แก้ไข "WAN2"
  ตั้งค่า vdom "อินเตอร์เน็ต"
  ตั้งไอพี 3.3.3.1 255.255.255.252
  ตั้งค่า allowaccess ping
  กำหนดบทบาทแลน
  ตั้งค่าอินเทอร์เฟซ "DC-BRD"
  เซ็ตวลาดิมีร์ 112
 ถัดไป
 แก้ไข "BRN-Ph1-1"
  ตั้งค่า vdom "อินเตอร์เน็ต"
  ตั้งไอพี 192.168.254.1 255.255.255.255
  ตั้งค่า allowaccess ping
  ชุดประเภทอุโมงค์
  ตั้งค่า IP ระยะไกล 192.168.254.2 255.255.255.255
  ตั้งค่าอินเทอร์เฟซ "WAN1"
 ถัดไป
 แก้ไข "BRN-Ph1-2"
  ตั้งค่า vdom "อินเตอร์เน็ต"
  ตั้งไอพี 192.168.254.3 255.255.255.255
  ตั้งค่า allowaccess ping
  ชุดประเภทอุโมงค์
  ตั้งค่า IP ระยะไกล 192.168.254.4 255.255.255.255
  ตั้งค่าอินเทอร์เฟซ "WAN2"
 ถัดไป
ปลาย

กำหนดค่า vpn ipsec phase1-interface
 แก้ไข "BRN-Ph1-1"
  ตั้งค่าอินเทอร์เฟซ "WAN1"
  ตั้งค่า local-gw 1.1.1.1
  ตั้งค่า peertype ใด ๆ
  ตั้งค่าปิดใช้งานอุปกรณ์เน็ต
  ตั้งค่าข้อเสนอ aes128-sha1
  ตั้งค่า dhgrp 2
  ตั้งค่ารีโมท-gw 2.2.2.1
  ตั้งค่า psksecret ***
 ถัดไป
 แก้ไข "BRN-Ph1-2"
  ตั้งค่าอินเทอร์เฟซ "WAN2"
  ตั้งค่า local-gw 3.3.3.1
  ตั้งค่า peertype ใด ๆ
  ตั้งค่าปิดใช้งานอุปกรณ์เน็ต
  ตั้งค่าข้อเสนอ aes128-sha1
  ตั้งค่า dhgrp 2
  ตั้งค่ารีโมท-gw 4.4.4.1
  ตั้งค่า psksecret ***
 ถัดไป
ปลาย

กำหนดค่า vpn ipsec phase2-interface
 แก้ไข "BRN-Ph2-1"
  ตั้งค่า phase1name “BRN-Ph1-1”
  ตั้งค่าข้อเสนอ aes256-sha256
  ตั้งค่า dhgrp 2
 ถัดไป
 แก้ไข "BRN-Ph2-2"
  ตั้งค่า phase1name “BRN-Ph1-2”
  ตั้งค่าข้อเสนอ aes256-sha256
  ตั้งค่า dhgrp 2
 ถัดไป
ปลาย

กำหนดค่าเราเตอร์แบบคงที่
 แก้ไข 1
  ตั้งค่าเกตเวย์ 1.1.1.2
  ตั้งค่าอุปกรณ์ "WAN1"
 ถัดไป
 แก้ไข 3
  ตั้งค่าเกตเวย์ 3.3.3.2
  ตั้งค่าอุปกรณ์ "WAN2"
 ถัดไป
ปลาย

ตั้งค่าเราเตอร์ bgp
 ตั้งเป็น 65002
 ตั้งค่าเราเตอร์-id 10.1.7.1
 ตั้งค่าให้ ebgp-multipath เปิดใช้งาน
 ตั้งค่าเพื่อนบ้าน
  แก้ไข "192.168.254.2"
   ตั้งค่ารีโมทเป็น 65003
  ถัดไป
  แก้ไข "192.168.254.4"
   ตั้งค่ารีโมทเป็น 65003
  ถัดไป
 ปลาย

 กำหนดค่าเครือข่าย
  แก้ไข 1
   ตั้งค่าคำนำหน้า 10.1.0.0 255.255.0.0
  ถัดไป
ปลาย

อินเตอร์เฟซระบบการตั้งค่า
 แก้ไข "WAN1"
  ตั้งค่า vdom "อินเตอร์เน็ต"
  ตั้งไอพี 2.2.2.1 255.255.255.252
  ตั้งค่า allowaccess ping
  ตั้งค่าบทบาทวัน
  ตั้งค่าอินเทอร์เฟซ "BRN-BRD"
  เซ็ตวลาดิมีร์ 111
 ถัดไป
 แก้ไข "WAN2"
  ตั้งค่า vdom "อินเตอร์เน็ต"
  ตั้งไอพี 4.4.4.1 255.255.255.252
  ตั้งค่า allowaccess ping
  ตั้งค่าบทบาทวัน
  ตั้งค่าอินเทอร์เฟซ "BRN-BRD"
  เซ็ตวลาดิมีร์ 114
 ถัดไป
 แก้ไข "DC-Ph1-1"
  ตั้งค่า vdom "อินเตอร์เน็ต"
  ตั้งไอพี 192.168.254.2 255.255.255.255
  ตั้งค่า allowaccess ping
  ชุดประเภทอุโมงค์
  ตั้งค่า IP ระยะไกล 192.168.254.1 255.255.255.255
  ตั้งค่าอินเทอร์เฟซ "WAN1"
 ถัดไป
 แก้ไข "DC-Ph1-2"
  ตั้งค่า vdom "อินเตอร์เน็ต"
  ตั้งไอพี 192.168.254.4 255.255.255.255
  ตั้งค่า allowaccess ping
  ชุดประเภทอุโมงค์
  ตั้งค่า IP ระยะไกล 192.168.254.3 255.255.255.255
  ตั้งค่าอินเทอร์เฟซ "WAN2"
 ถัดไป
ปลาย

กำหนดค่า vpn ipsec phase1-interface
  แก้ไข "DC-Ph1-1"
   ตั้งค่าอินเทอร์เฟซ "WAN1"
   ตั้งค่า local-gw 2.2.2.1
   ตั้งค่า peertype ใด ๆ
   ตั้งค่าปิดใช้งานอุปกรณ์เน็ต
   ตั้งค่าข้อเสนอ aes128-sha1
   ตั้งค่า dhgrp 2
   ตั้งค่ารีโมท-gw 1.1.1.1
   ตั้งค่า psksecret ***
  ถัดไป
  แก้ไข "DC-Ph1-2"
   ตั้งค่าอินเทอร์เฟซ "WAN2"
   ตั้งค่า local-gw 4.4.4.1
   ตั้งค่า peertype ใด ๆ
   ตั้งค่าปิดใช้งานอุปกรณ์เน็ต
   ตั้งค่าข้อเสนอ aes128-sha1
   ตั้งค่า dhgrp 2
   ตั้งค่ารีโมท-gw 3.3.3.1
   ตั้งค่า psksecret ***
  ถัดไป
ปลาย

กำหนดค่า vpn ipsec phase2-interface
  แก้ไข "DC-Ph2-1"
   ตั้งค่า phase1name "DC-Ph1-1"
   ตั้งค่าข้อเสนอ aes128-sha1
   ตั้งค่า dhgrp 2
  ถัดไป
  แก้ไข "DC2-Ph2-2"
   ตั้งค่า phase1name "DC-Ph1-2"
   ตั้งค่าข้อเสนอ aes128-sha1
   ตั้งค่า dhgrp 2
  ถัดไป
ปลาย

กำหนดค่าเราเตอร์แบบคงที่
 แก้ไข 1
  ตั้งค่าเกตเวย์ 2.2.2.2
  และอุปกรณ์ “WAN1”
 ถัดไป
 แก้ไข 3
  ตั้งค่าเกตเวย์ 4.4.4.2
  ตั้งค่าอุปกรณ์ "WAN2"
 ถัดไป
ปลาย

ตั้งค่าเราเตอร์ bgp
  ตั้งเป็น 65003
  ตั้งค่าเราเตอร์-id 10.200.7.1
  ตั้งค่าให้ ebgp-multipath เปิดใช้งาน
  ตั้งค่าเพื่อนบ้าน
   แก้ไข "192.168.254.1"
    ตั้งค่ารีโมทเป็น 65002
   ถัดไป
  แก้ไข "192.168.254.3"
   ตั้งค่ารีโมทเป็น 65002
   ถัดไป
  ปลาย

  กำหนดค่าเครือข่าย
   แก้ไข 1
    ตั้งค่าคำนำหน้า 10.200.0.0 255.255.0.0
   ถัดไป
ปลาย

ฉันกำลังจัดเตรียมการกำหนดค่าในรูปแบบข้อความ เพราะในความคิดของฉัน การกำหนดค่า VPN ด้วยวิธีนี้จะสะดวกกว่า การตั้งค่าเกือบทั้งหมดจะเหมือนกันทั้งสองด้าน ในรูปแบบข้อความ สามารถทำเป็นการคัดลอกและวางได้ หากคุณทำสิ่งเดียวกันบนเว็บอินเทอร์เฟซ เป็นเรื่องง่ายที่จะทำผิดพลาด - ลืมเครื่องหมายถูกที่ไหนสักแห่ง และป้อนค่าที่ไม่ถูกต้อง

หลังจากที่เราเพิ่มอินเทอร์เฟซเข้ากับบันเดิลแล้ว

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

เส้นทางและนโยบายความปลอดภัยทั้งหมดสามารถอ้างถึงได้ ไม่ใช่อินเทอร์เฟซที่รวมอยู่ในนั้น อย่างน้อยที่สุด คุณจะต้องอนุญาตการรับส่งข้อมูลจากเครือข่ายภายในไปยัง SD-WAN เมื่อคุณสร้างกฎสำหรับกฎเหล่านั้น คุณสามารถใช้มาตรการป้องกัน เช่น การเปิดเผย IPS, โปรแกรมป้องกันไวรัส และ HTTPS

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

กฎ SD-WAN ได้รับการกำหนดค่าสำหรับบันเดิล เหล่านี้เป็นกฎที่กำหนดอัลกอริธึมการปรับสมดุลสำหรับการรับส่งข้อมูลเฉพาะ มีความคล้ายคลึงกับนโยบายการกำหนดเส้นทางในการกำหนดเส้นทางตามนโยบาย แต่เป็นผลมาจากปริมาณการรับส่งข้อมูลที่อยู่ภายใต้นโยบายเท่านั้น ไม่ใช่อินเทอร์เฟซถัดไปหรืออินเทอร์เฟซขาออกปกติที่ได้รับการติดตั้ง แต่เป็นอินเทอร์เฟซที่เพิ่มลงในชุด SD-WAN บวก อัลกอริธึมการปรับสมดุลการรับส่งข้อมูลระหว่างอินเทอร์เฟซเหล่านี้

การรับส่งข้อมูลสามารถแยกออกจากโฟลว์ทั่วไปด้วยข้อมูล L3-L4, โดยแอปพลิเคชันที่ได้รับการยอมรับ, บริการอินเทอร์เน็ต (URL และ IP) รวมถึงโดยผู้ใช้เวิร์กสเตชันและแล็ปท็อปที่ได้รับการยอมรับ หลังจากนี้ คุณสามารถกำหนดอัลกอริธึมการปรับสมดุลอย่างใดอย่างหนึ่งต่อไปนี้ให้กับการรับส่งข้อมูลที่จัดสรรได้:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

ในรายการการตั้งค่าอินเทอร์เฟซ อินเทอร์เฟซเหล่านั้นจากที่เพิ่มเข้ากับบันเดิลที่จะรองรับการรับส่งข้อมูลประเภทนี้จะถูกเลือก ด้วยการเพิ่มอินเทอร์เฟซไม่ทั้งหมด คุณสามารถจำกัดช่องทางที่คุณใช้ เช่น อีเมล ได้อย่างแน่นอน หากคุณไม่ต้องการสร้างภาระให้กับช่องทางที่มีราคาแพงด้วย SLA ที่สูง ใน FortiOS 6.4.1 เป็นไปได้ที่จะจัดกลุ่มอินเทอร์เฟซที่เพิ่มในชุด SD-WAN ออกเป็นโซนต่างๆ เช่น สร้างโซนหนึ่งสำหรับการสื่อสารกับไซต์ระยะไกล และอีกโซนหนึ่งสำหรับการเข้าถึงอินเทอร์เน็ตท้องถิ่นโดยใช้ NAT ใช่ ใช่ การรับส่งข้อมูลที่ไปยังอินเทอร์เน็ตปกติสามารถปรับสมดุลได้เช่นกัน

เกี่ยวกับอัลกอริธึมการปรับสมดุล

เกี่ยวกับวิธีที่ Fortigate (ไฟร์วอลล์จาก Fortinet) สามารถแบ่งการรับส่งข้อมูลระหว่างช่องทางต่างๆ มีสองตัวเลือกที่น่าสนใจซึ่งไม่ค่อยพบเห็นได้ทั่วไปในตลาด:

ต้นทุนต่ำสุด (SLA) – จากอินเทอร์เฟซทั้งหมดที่เป็นไปตาม SLA ในขณะนี้ จะมีการเลือกอินเทอร์เฟซที่มีน้ำหนัก (ต้นทุน) ต่ำกว่า ซึ่งผู้ดูแลระบบกำหนดด้วยตนเอง โหมดนี้เหมาะสำหรับการรับส่งข้อมูล "จำนวนมาก" เช่น การสำรองข้อมูลและการถ่ายโอนไฟล์

คุณภาพดีที่สุด (SLA) – อัลกอริธึมนี้ นอกเหนือจากความล่าช้าปกติ ความกระวนกระวายใจ และการสูญเสียแพ็กเก็ต Fortigate แล้ว ยังสามารถใช้โหลดช่องสัญญาณปัจจุบันเพื่อประเมินคุณภาพของช่องสัญญาณ โหมดนี้เหมาะสำหรับการรับส่งข้อมูลที่มีความละเอียดอ่อน เช่น VoIP และการประชุมทางวิดีโอ

อัลกอริธึมเหล่านี้จำเป็นต้องตั้งค่าตัววัดประสิทธิภาพช่องทางการสื่อสาร - Performance SLA มิเตอร์นี้จะตรวจสอบข้อมูลเกี่ยวกับการปฏิบัติตาม SLA เป็นระยะๆ: การสูญหายของแพ็กเก็ต ความล่าช้า (เวลาแฝง) และความกระวนกระวายใจ (การกระวนกระวายใจ) ในช่องทางการสื่อสาร และสามารถ "ปฏิเสธ" ช่องทางเหล่านั้นที่ไม่ตรงตามเกณฑ์คุณภาพในปัจจุบัน - ช่องทางเหล่านั้นกำลังสูญเสีย แพ็กเก็ตมากเกินไปหรือประสบกับความล่าช้ามากเกินไป นอกจากนี้ มิเตอร์จะตรวจสอบสถานะของช่องและสามารถลบออกจากชุดชั่วคราวในกรณีที่สูญเสียการตอบสนองซ้ำๆ (เกิดความล้มเหลวก่อนที่จะไม่ทำงาน) เมื่อกู้คืน หลังจากการตอบสนองติดต่อกันหลายครั้ง (กู้คืนลิงก์หลังจากนั้น) มิเตอร์จะส่งคืนช่องสัญญาณไปยังบันเดิลโดยอัตโนมัติ และข้อมูลจะเริ่มส่งข้อมูลผ่านช่องอีกครั้ง

การตั้งค่า "มิเตอร์" มีลักษณะดังนี้:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

ในเว็บอินเทอร์เฟซ คำขอ ICMP-Echo-request, HTTP-GET และ DNS สามารถใช้เป็นโปรโตคอลทดสอบได้ มีตัวเลือกเพิ่มเติมอีกเล็กน้อยในบรรทัดคำสั่ง: มีตัวเลือก TCP-echo และ UDP-echo รวมถึงโปรโตคอลการวัดคุณภาพพิเศษ - TWAMP

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

สามารถดูผลการวัดได้บนเว็บอินเทอร์เฟซ:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

และบนบรรทัดคำสั่ง:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

การแก้ไขปัญหา

หากคุณสร้างกฎ แต่ทุกอย่างไม่ทำงานตามที่คาดไว้ คุณควรดูค่าจำนวน Hit ในรายการกฎ SD-WAN จะแสดงว่าการรับส่งข้อมูลเข้าตามกฎนี้หรือไม่:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

ในหน้าการตั้งค่าของมิเตอร์ คุณจะเห็นการเปลี่ยนแปลงในพารามิเตอร์ช่องเมื่อเวลาผ่านไป เส้นประบ่งบอกถึงค่าเกณฑ์ของพารามิเตอร์

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

ในอินเทอร์เฟซเว็บ คุณสามารถดูวิธีการกระจายการรับส่งข้อมูลตามจำนวนข้อมูลที่ส่ง/รับ และจำนวนเซสชัน:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

นอกเหนือจากทั้งหมดนี้ ยังมีโอกาสที่ดีเยี่ยมในการติดตามการผ่านของแพ็กเก็ตที่มีรายละเอียดสูงสุด เมื่อทำงานในเครือข่ายจริง การกำหนดค่าอุปกรณ์จะสะสมนโยบายการกำหนดเส้นทาง ไฟร์วอลล์ และการกระจายการรับส่งข้อมูลผ่านพอร์ต SD-WAN จำนวนมาก ทั้งหมดนี้โต้ตอบกันในลักษณะที่ซับซ้อน และแม้ว่าผู้ขายจะให้บล็อกไดอะแกรมโดยละเอียดของอัลกอริธึมการประมวลผลแพ็คเก็ต แต่สิ่งสำคัญมากคือไม่สามารถสร้างและทดสอบทฤษฎีได้ แต่ต้องดูว่าการรับส่งข้อมูลจริงไปที่ใด

ยกตัวอย่างชุดคำสั่งต่อไปนี้

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

ช่วยให้คุณติดตามสองแพ็กเก็ตที่มีที่อยู่ต้นทาง 10.200.64.15 และที่อยู่ปลายทาง 10.1.7.2
เรา ping 10.7.1.2 จาก 10.200.64.15 สองครั้ง และดูที่เอาต์พุตบนคอนโซล

แพ็คเกจแรก:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

แพ็คเกจที่สอง:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

นี่คือแพ็กเก็ตแรกที่ไฟร์วอลล์ได้รับ:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

มีการสร้างเซสชันใหม่สำหรับเขา:
msg="allocate a new session-0006a627"

และพบการจับคู่ในการตั้งค่านโยบายการกำหนดเส้นทาง
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

ปรากฎว่าจำเป็นต้องส่งแพ็กเก็ตไปยังอุโมงค์ VPN อันใดอันหนึ่ง:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

ตรวจพบกฎการอนุญาตต่อไปนี้ในนโยบายไฟร์วอลล์:
msg="Allowed by Policy-3:"

แพ็กเก็ตถูกเข้ารหัสและส่งไปยังอุโมงค์ VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

แพ็กเก็ตที่เข้ารหัสจะถูกส่งไปยังที่อยู่เกตเวย์สำหรับอินเทอร์เฟซ WAN นี้:
msg="send to 2.2.2.2 via intf-WAN1"

สำหรับแพ็กเก็ตที่สอง ทุกอย่างเกิดขึ้นในลักษณะเดียวกัน แต่จะถูกส่งไปยังอุโมงค์ VPN อื่นและออกผ่านพอร์ตไฟร์วอลล์อื่น:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

ข้อดีของการแก้ปัญหา

ฟังก์ชั่นที่เชื่อถือได้และอินเทอร์เฟซที่ใช้งานง่าย ชุดคุณลักษณะที่มีอยู่ใน FortiOS ก่อนการถือกำเนิดของ SD-WAN ได้รับการเก็บรักษาไว้อย่างสมบูรณ์ นั่นคือเราไม่มีซอฟต์แวร์ที่พัฒนาขึ้นใหม่ แต่เป็นระบบที่สมบูรณ์จากผู้ขายไฟร์วอลล์ที่ได้รับการพิสูจน์แล้ว ด้วยชุดฟังก์ชันเครือข่ายแบบดั้งเดิม เว็บอินเตอร์เฟสที่สะดวกและง่ายต่อการเรียนรู้ มีผู้จำหน่าย SD-WAN กี่รายที่มีฟังก์ชัน Remote-Access VPN บนอุปกรณ์ปลายทาง

ความปลอดภัยระดับ 80 FortiGate เป็นหนึ่งในโซลูชั่นไฟร์วอลล์ชั้นนำ มีเนื้อหามากมายบนอินเทอร์เน็ตเกี่ยวกับการตั้งค่าและการจัดการไฟร์วอลล์ และในตลาดแรงงานมีผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากที่เชี่ยวชาญโซลูชันของผู้จำหน่ายแล้ว

ราคาศูนย์สำหรับฟังก์ชัน SD-WAN การสร้างเครือข่าย SD-WAN บน FortiGate มีค่าใช้จ่ายเหมือนกับการสร้างเครือข่าย WAN ปกติบนเครือข่าย เนื่องจากไม่จำเป็นต้องมีใบอนุญาตเพิ่มเติมเพื่อใช้ฟังก์ชันการทำงานของ SD-WAN

ราคาอุปสรรคในการเข้าต่ำ Fortigate มีการไล่ระดับอุปกรณ์ที่ดีสำหรับระดับประสิทธิภาพที่แตกต่างกัน รุ่นที่อายุน้อยที่สุดและราคาไม่แพงที่สุดค่อนข้างเหมาะสำหรับการขยายสำนักงานหรือจุดขายโดยพนักงาน 3-5 คน ผู้จำหน่ายหลายรายไม่มีรุ่นที่มีประสิทธิภาพต่ำและราคาไม่แพงเช่นนี้

ประสิทธิภาพสูง การลดฟังก์ชันการทำงานของ SD-WAN ลงเพื่อปรับสมดุลการรับส่งข้อมูลทำให้บริษัทสามารถเผยแพร่ SD-WAN ASIC แบบพิเศษได้ ซึ่งต้องขอบคุณการดำเนินการ SD-WAN ที่ไม่ลดประสิทธิภาพของไฟร์วอลล์โดยรวม

ความสามารถในการใช้งานสำนักงานทั้งหมดบนอุปกรณ์ของ Fortinet เหล่านี้คือคู่ของไฟร์วอลล์ สวิตช์ จุดเชื่อมต่อ Wi-Fi สำนักงานดังกล่าวจัดการได้ง่ายและสะดวก - สวิตช์และจุดเข้าใช้งานได้รับการลงทะเบียนบนไฟร์วอลล์และจัดการจากสวิตช์เหล่านั้น ตัวอย่างเช่น นี่คือลักษณะของพอร์ตสวิตช์จากอินเทอร์เฟซไฟร์วอลล์ที่ควบคุมสวิตช์นี้:

การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

การขาดตัวควบคุมเป็นจุดหนึ่งของความล้มเหลว ผู้จำหน่ายเองก็มุ่งเน้นไปที่สิ่งนี้ แต่สิ่งนี้สามารถเรียกได้ว่าเป็นผลประโยชน์ในบางส่วนเท่านั้น เนื่องจากสำหรับผู้จำหน่ายที่มีตัวควบคุม การรับรองว่าความทนทานต่อข้อผิดพลาดนั้นมีราคาไม่แพง โดยส่วนใหญ่มักจะมีราคาของทรัพยากรการประมวลผลจำนวนเล็กน้อยในสภาพแวดล้อมเสมือนจริง

สิ่งที่ควรมองหา

ไม่มีการแยกระหว่าง Control Plane และ Data Plane. ซึ่งหมายความว่าจะต้องกำหนดค่าเครือข่ายด้วยตนเองหรือใช้เครื่องมือการจัดการแบบเดิมที่มีอยู่แล้ว - FortiManager สำหรับผู้ขายที่ได้ดำเนินการแยกดังกล่าว เครือข่ายจะประกอบขึ้นเอง ผู้ดูแลระบบอาจเพียงต้องปรับโทโพโลยี ห้ามทำสิ่งใดสิ่งหนึ่ง ไม่มีอะไรเพิ่มเติม อย่างไรก็ตาม จุดเด่นของ FortiManager คือสามารถจัดการได้ไม่เพียงแต่ไฟร์วอลล์เท่านั้น แต่ยังรวมถึงสวิตช์และจุดเชื่อมต่อ Wi-Fi ซึ่งก็คือเครือข่ายเกือบทั้งหมด

เพิ่มความสามารถในการควบคุมตามเงื่อนไข เนื่องจากมีการใช้เครื่องมือแบบดั้งเดิมเพื่อทำให้การกำหนดค่าเครือข่ายเป็นแบบอัตโนมัติ ความสามารถในการจัดการเครือข่ายด้วยการใช้ SD-WAN จึงเพิ่มขึ้นเล็กน้อย ในทางกลับกัน ฟังก์ชันใหม่จะพร้อมใช้งานเร็วขึ้น เนื่องจากผู้จำหน่ายเผยแพร่ครั้งแรกสำหรับระบบปฏิบัติการไฟร์วอลล์เท่านั้น (ซึ่งทำให้สามารถใช้งานได้ทันที) จากนั้นจึงเสริมระบบการจัดการด้วยอินเทอร์เฟซที่จำเป็นเท่านั้น

ฟังก์ชั่นบางอย่างอาจใช้งานได้จากบรรทัดคำสั่ง แต่ไม่สามารถใช้งานได้จากเว็บอินเตอร์เฟส บางครั้งการเข้าสู่บรรทัดคำสั่งเพื่อกำหนดค่าบางอย่างไม่ใช่เรื่องน่ากลัว แต่ก็น่ากลัวที่จะไม่เห็นในเว็บอินเตอร์เฟสที่มีคนกำหนดค่าบางอย่างจากบรรทัดคำสั่งแล้ว แต่สิ่งนี้มักจะนำไปใช้กับคุณสมบัติใหม่ล่าสุดและค่อยๆ ด้วยการอัพเดต FortiOS ความสามารถของเว็บอินเตอร์เฟสก็ได้รับการปรับปรุง

ใครจะเหมาะ

สำหรับใครที่มีสาขาไม่มาก การใช้โซลูชัน SD-WAN กับส่วนประกอบส่วนกลางที่ซับซ้อนบนเครือข่าย 8-10 สาขาอาจไม่เสียค่าใช้จ่ายมากนัก คุณจะต้องเสียเงินไปกับใบอนุญาตสำหรับอุปกรณ์ SD-WAN และทรัพยากรระบบการจำลองเสมือนเพื่อโฮสต์ส่วนประกอบส่วนกลาง บริษัทขนาดเล็กมักจะมีทรัพยากรคอมพิวเตอร์ฟรีที่จำกัด ในกรณีของ Fortinet การซื้อไฟร์วอลล์ก็เพียงพอแล้ว

สำหรับผู้ที่มีสาขาเล็กๆ จำนวนมาก สำหรับผู้จำหน่ายหลายราย ราคาโซลูชั่นขั้นต่ำต่อสาขาค่อนข้างสูง และอาจไม่น่าสนใจจากมุมมองของธุรกิจของลูกค้าปลายทาง Fortinet นำเสนออุปกรณ์ขนาดเล็กในราคาที่น่าดึงดูดใจ

สำหรับผู้ที่ยังไม่พร้อมที่จะก้าวไปไกลเกินไป การใช้ SD-WAN กับคอนโทรลเลอร์ การกำหนดเส้นทางที่เป็นกรรมสิทธิ์ และแนวทางใหม่ในการวางแผนและการจัดการเครือข่ายอาจเป็นก้าวที่ใหญ่เกินไปสำหรับลูกค้าบางราย ใช่ การใช้งานดังกล่าวจะช่วยเพิ่มประสิทธิภาพการใช้ช่องทางการสื่อสารและการทำงานของผู้ดูแลระบบในท้ายที่สุด แต่ก่อนอื่นคุณจะต้องเรียนรู้สิ่งใหม่ๆ มากมาย สำหรับผู้ที่ยังไม่พร้อมสำหรับการปรับเปลี่ยนกระบวนทัศน์ แต่ต้องการบีบช่องทางการสื่อสารให้มากขึ้น วิธีแก้ปัญหาจาก Fortinet นั้นใช่เลย

ที่มา: will.com

ซื้อโฮสติ้งที่เชื่อถือได้สำหรับไซต์ที่มีการป้องกัน DDoS เซิร์ฟเวอร์ VPS VDS 🔥 ซื้อบริการเว็บโฮสติ้งที่เชื่อถือได้ พร้อมระบบป้องกัน DDoS และเซิร์ฟเวอร์ VPS/VDS | ProHoster