การวิเคราะห์ SD-WAN ที่เป็นประชาธิปไตยมากที่สุด: สถาปัตยกรรม การกำหนดค่า การดูแลระบบ และข้อผิดพลาด

เมื่อพิจารณาจากจำนวนคำถามที่เริ่มมาถึงเราผ่านทาง SD-WAN เทคโนโลยีได้เริ่มหยั่งรากลึกในรัสเซียแล้ว ผู้ขายมักจะไม่หลับใหลและนำเสนอแนวคิดของตน และผู้บุกเบิกที่กล้าหาญบางคนก็นำแนวคิดเหล่านี้ไปใช้งานบนเครือข่ายของตนแล้ว

เราทำงานร่วมกับผู้จำหน่ายเกือบทั้งหมด และในช่วงหลายปีที่ผ่านมาในห้องปฏิบัติการของเรา ฉันสามารถเจาะลึกสถาปัตยกรรมของผู้พัฒนาโซลูชันที่กำหนดโดยซอฟต์แวร์รายใหญ่ทุกราย SD-WAN จาก Fortinet มีความโดดเด่นเพียงเล็กน้อย ซึ่งเพียงแค่สร้างฟังก์ชันการสร้างสมดุลการรับส่งข้อมูลระหว่างช่องทางการสื่อสารลงในซอฟต์แวร์ไฟร์วอลล์ วิธีแก้ปัญหานี้ค่อนข้างเป็นประชาธิปไตย ดังนั้นจึงมักจะพิจารณาโดยบริษัทที่ยังไม่พร้อมสำหรับการเปลี่ยนแปลงระดับโลก แต่ต้องการใช้ช่องทางการสื่อสารของตนอย่างมีประสิทธิภาพมากขึ้น

ในบทความนี้ ฉันอยากจะบอกวิธีกำหนดค่าและทำงานกับ SD-WAN จาก Fortinet ว่าโซลูชันนี้เหมาะกับใครและคุณอาจพบข้อผิดพลาดอะไรบ้างที่นี่

ผู้เล่นที่โดดเด่นที่สุดในตลาด SD-WAN สามารถจำแนกได้เป็นสองประเภท:

1. สตาร์ทอัพที่สร้างโซลูชัน SD-WAN ตั้งแต่เริ่มต้น ความสำเร็จสูงสุดของสิ่งเหล่านี้ได้รับแรงผลักดันอย่างมากในการพัฒนาหลังจากถูกซื้อโดยบริษัทขนาดใหญ่ - นี่คือเรื่องราวของ Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia

2. ผู้จำหน่ายเครือข่ายขนาดใหญ่ที่สร้างโซลูชัน SD-WAN พัฒนาความสามารถในการตั้งโปรแกรมและความสามารถในการจัดการของเราเตอร์แบบเดิม - นี่คือเรื่องราวของ Juniper, Huawei

Fortinet สามารถหาทางได้ ซอฟต์แวร์ไฟร์วอลล์มีฟังก์ชันการทำงานในตัวที่ทำให้สามารถรวมอินเทอร์เฟซเข้ากับช่องทางเสมือน และสร้างสมดุลโหลดระหว่างอินเทอร์เฟซเหล่านั้นโดยใช้อัลกอริธึมที่ซับซ้อนเมื่อเปรียบเทียบกับการกำหนดเส้นทางทั่วไป ฟังก์ชันนี้เรียกว่า SD-WAN สิ่งที่ Fortinet สามารถเรียกว่า SD-WAN ได้หรือไม่ ตลาดกำลังทำความเข้าใจว่า Software-Defined หมายถึงการแยกส่วนควบคุมออกจาก Data Plane ตัวควบคุมเฉพาะ และผู้ควบคุม Fortinet ไม่มีอะไรแบบนั้น การจัดการแบบรวมศูนย์เป็นทางเลือกและนำเสนอผ่านเครื่องมือ Fortimanager แบบดั้งเดิม แต่ในความคิดของฉัน คุณไม่ควรมองหาความจริงที่เป็นนามธรรมและเสียเวลาในการโต้เถียงเกี่ยวกับคำศัพท์ ในโลกแห่งความเป็นจริง แต่ละวิธีมีข้อดีและข้อเสียของตัวเอง วิธีที่ดีที่สุดคือการทำความเข้าใจและสามารถเลือกวิธีแก้ปัญหาที่สอดคล้องกับงานได้

ฉันจะพยายามบอกคุณด้วยภาพหน้าจอในมือว่า SD-WAN จาก Fortinet หน้าตาเป็นอย่างไร และมันทำอะไรได้บ้าง

ทุกอย่างทำงานอย่างไร

สมมติว่าคุณมีสองสาขาที่เชื่อมต่อกันด้วยสองช่องข้อมูล ลิงก์ข้อมูลเหล่านี้จะรวมกันเป็นกลุ่ม คล้ายกับวิธีที่อินเทอร์เฟซอีเทอร์เน็ตทั่วไปรวมเข้ากับ LACP-Port-Channel ผู้จับเวลาเก่าจะจำ PPP Multilink ซึ่งเป็นการเปรียบเทียบที่เหมาะสมเช่นกัน ช่องสัญญาณอาจเป็นฟิสิคัลพอร์ต, VLAN SVI รวมถึง VPN หรือ GRE tunnels

โดยทั่วไปจะใช้ VPN หรือ GRE เมื่อเชื่อมต่อเครือข่ายท้องถิ่นของสาขาผ่านอินเทอร์เน็ต และพอร์ตทางกายภาพ - หากมีการเชื่อมต่อ L2 ระหว่างไซต์ หรือเมื่อเชื่อมต่อผ่าน MPLS/VPN เฉพาะ หากเราพอใจกับการเชื่อมต่อที่ไม่มีการซ้อนทับและการเข้ารหัส อีกสถานการณ์หนึ่งที่ใช้พอร์ตจริงในกลุ่ม SD-WAN กำลังสร้างสมดุลในการเข้าถึงอินเทอร์เน็ตของผู้ใช้ในเครื่อง

ที่จุดยืนของเรามีไฟร์วอลล์สี่ตัวและอุโมงค์ VPN สองแห่งที่ทำงานผ่าน "ผู้ให้บริการการสื่อสาร" สองราย แผนภาพมีลักษณะดังนี้:

อุโมงค์ VPN ได้รับการกำหนดค่าในโหมดอินเทอร์เฟซเพื่อให้คล้ายกับการเชื่อมต่อแบบจุดต่อจุดระหว่างอุปกรณ์ที่มีที่อยู่ IP บนอินเทอร์เฟซ P2P ซึ่งสามารถส่ง Ping เพื่อให้แน่ใจว่าการสื่อสารผ่านอุโมงค์เฉพาะทำงานได้ เพื่อให้การรับส่งข้อมูลได้รับการเข้ารหัสและไปฝั่งตรงข้าม ก็เพียงพอที่จะกำหนดเส้นทางเข้าไปในอุโมงค์ อีกทางเลือกหนึ่งคือเลือกการรับส่งข้อมูลสำหรับการเข้ารหัสโดยใช้รายการเครือข่ายย่อย ซึ่งทำให้ผู้ดูแลระบบสับสนอย่างมากเนื่องจากการกำหนดค่ามีความซับซ้อนมากขึ้น ในเครือข่ายขนาดใหญ่ คุณสามารถใช้เทคโนโลยี ADVPN เพื่อสร้าง VPN ได้ ซึ่งเป็นอะนาล็อกของ DMVPN จาก Cisco หรือ DVPN จาก Huawei ซึ่งช่วยให้การตั้งค่าง่ายขึ้น

การกำหนดค่า Site-to-Site VPN สำหรับอุปกรณ์สองตัวที่มีการกำหนดเส้นทาง BGP ทั้งสองด้าน

«ЦОД» (DC)
«Филиал» (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

ฉันกำลังจัดเตรียมการกำหนดค่าในรูปแบบข้อความ เพราะในความคิดของฉัน การกำหนดค่า VPN ด้วยวิธีนี้จะสะดวกกว่า การตั้งค่าเกือบทั้งหมดจะเหมือนกันทั้งสองด้าน ในรูปแบบข้อความ สามารถทำเป็นการคัดลอกและวางได้ หากคุณทำสิ่งเดียวกันบนเว็บอินเทอร์เฟซ เป็นเรื่องง่ายที่จะทำผิดพลาด - ลืมเครื่องหมายถูกที่ไหนสักแห่ง และป้อนค่าที่ไม่ถูกต้อง

หลังจากที่เราเพิ่มอินเทอร์เฟซเข้ากับบันเดิลแล้ว

เส้นทางและนโยบายความปลอดภัยทั้งหมดสามารถอ้างถึงได้ ไม่ใช่อินเทอร์เฟซที่รวมอยู่ในนั้น อย่างน้อยที่สุด คุณจะต้องอนุญาตการรับส่งข้อมูลจากเครือข่ายภายในไปยัง SD-WAN เมื่อคุณสร้างกฎสำหรับกฎเหล่านั้น คุณสามารถใช้มาตรการป้องกัน เช่น การเปิดเผย IPS, โปรแกรมป้องกันไวรัส และ HTTPS

กฎ SD-WAN ได้รับการกำหนดค่าสำหรับบันเดิล เหล่านี้เป็นกฎที่กำหนดอัลกอริธึมการปรับสมดุลสำหรับการรับส่งข้อมูลเฉพาะ มีความคล้ายคลึงกับนโยบายการกำหนดเส้นทางในการกำหนดเส้นทางตามนโยบาย แต่เป็นผลมาจากปริมาณการรับส่งข้อมูลที่อยู่ภายใต้นโยบายเท่านั้น ไม่ใช่อินเทอร์เฟซถัดไปหรืออินเทอร์เฟซขาออกปกติที่ได้รับการติดตั้ง แต่เป็นอินเทอร์เฟซที่เพิ่มลงในชุด SD-WAN บวก อัลกอริธึมการปรับสมดุลการรับส่งข้อมูลระหว่างอินเทอร์เฟซเหล่านี้

การรับส่งข้อมูลสามารถแยกออกจากโฟลว์ทั่วไปด้วยข้อมูล L3-L4, โดยแอปพลิเคชันที่ได้รับการยอมรับ, บริการอินเทอร์เน็ต (URL และ IP) รวมถึงโดยผู้ใช้เวิร์กสเตชันและแล็ปท็อปที่ได้รับการยอมรับ หลังจากนี้ คุณสามารถกำหนดอัลกอริธึมการปรับสมดุลอย่างใดอย่างหนึ่งต่อไปนี้ให้กับการรับส่งข้อมูลที่จัดสรรได้:

ในรายการการตั้งค่าอินเทอร์เฟซ อินเทอร์เฟซเหล่านั้นจากที่เพิ่มเข้ากับบันเดิลที่จะรองรับการรับส่งข้อมูลประเภทนี้จะถูกเลือก ด้วยการเพิ่มอินเทอร์เฟซไม่ทั้งหมด คุณสามารถจำกัดช่องทางที่คุณใช้ เช่น อีเมล ได้อย่างแน่นอน หากคุณไม่ต้องการสร้างภาระให้กับช่องทางที่มีราคาแพงด้วย SLA ที่สูง ใน FortiOS 6.4.1 เป็นไปได้ที่จะจัดกลุ่มอินเทอร์เฟซที่เพิ่มในชุด SD-WAN ออกเป็นโซนต่างๆ เช่น สร้างโซนหนึ่งสำหรับการสื่อสารกับไซต์ระยะไกล และอีกโซนหนึ่งสำหรับการเข้าถึงอินเทอร์เน็ตท้องถิ่นโดยใช้ NAT ใช่ ใช่ การรับส่งข้อมูลที่ไปยังอินเทอร์เน็ตปกติสามารถปรับสมดุลได้เช่นกัน

เกี่ยวกับอัลกอริธึมการปรับสมดุล

เกี่ยวกับวิธีที่ Fortigate (ไฟร์วอลล์จาก Fortinet) สามารถแบ่งการรับส่งข้อมูลระหว่างช่องทางต่างๆ มีสองตัวเลือกที่น่าสนใจซึ่งไม่ค่อยพบเห็นได้ทั่วไปในตลาด:

ต้นทุนต่ำสุด (SLA) – จากอินเทอร์เฟซทั้งหมดที่เป็นไปตาม SLA ในขณะนี้ จะมีการเลือกอินเทอร์เฟซที่มีน้ำหนัก (ต้นทุน) ต่ำกว่า ซึ่งผู้ดูแลระบบกำหนดด้วยตนเอง โหมดนี้เหมาะสำหรับการรับส่งข้อมูล "จำนวนมาก" เช่น การสำรองข้อมูลและการถ่ายโอนไฟล์

คุณภาพดีที่สุด (SLA) – อัลกอริธึมนี้ นอกเหนือจากความล่าช้าปกติ ความกระวนกระวายใจ และการสูญเสียแพ็กเก็ต Fortigate แล้ว ยังสามารถใช้โหลดช่องสัญญาณปัจจุบันเพื่อประเมินคุณภาพของช่องสัญญาณ โหมดนี้เหมาะสำหรับการรับส่งข้อมูลที่มีความละเอียดอ่อน เช่น VoIP และการประชุมทางวิดีโอ

อัลกอริธึมเหล่านี้จำเป็นต้องตั้งค่าตัววัดประสิทธิภาพช่องทางการสื่อสาร - Performance SLA มิเตอร์นี้จะตรวจสอบข้อมูลเกี่ยวกับการปฏิบัติตาม SLA เป็นระยะๆ: การสูญหายของแพ็กเก็ต ความล่าช้า (เวลาแฝง) และความกระวนกระวายใจ (การกระวนกระวายใจ) ในช่องทางการสื่อสาร และสามารถ "ปฏิเสธ" ช่องทางเหล่านั้นที่ไม่ตรงตามเกณฑ์คุณภาพในปัจจุบัน - ช่องทางเหล่านั้นกำลังสูญเสีย แพ็กเก็ตมากเกินไปหรือประสบกับความล่าช้ามากเกินไป นอกจากนี้ มิเตอร์จะตรวจสอบสถานะของช่องและสามารถลบออกจากชุดชั่วคราวในกรณีที่สูญเสียการตอบสนองซ้ำๆ (เกิดความล้มเหลวก่อนที่จะไม่ทำงาน) เมื่อกู้คืน หลังจากการตอบสนองติดต่อกันหลายครั้ง (กู้คืนลิงก์หลังจากนั้น) มิเตอร์จะส่งคืนช่องสัญญาณไปยังบันเดิลโดยอัตโนมัติ และข้อมูลจะเริ่มส่งข้อมูลผ่านช่องอีกครั้ง

การตั้งค่า "มิเตอร์" มีลักษณะดังนี้:

ในเว็บอินเทอร์เฟซ คำขอ ICMP-Echo-request, HTTP-GET และ DNS สามารถใช้เป็นโปรโตคอลทดสอบได้ มีตัวเลือกเพิ่มเติมอีกเล็กน้อยในบรรทัดคำสั่ง: มีตัวเลือก TCP-echo และ UDP-echo รวมถึงโปรโตคอลการวัดคุณภาพพิเศษ - TWAMP

สามารถดูผลการวัดได้บนเว็บอินเทอร์เฟซ:

และบนบรรทัดคำสั่ง:

การแก้ไขปัญหา

หากคุณสร้างกฎ แต่ทุกอย่างไม่ทำงานตามที่คาดไว้ คุณควรดูค่าจำนวน Hit ในรายการกฎ SD-WAN จะแสดงว่าการรับส่งข้อมูลเข้าตามกฎนี้หรือไม่:

ในหน้าการตั้งค่าของมิเตอร์ คุณจะเห็นการเปลี่ยนแปลงในพารามิเตอร์ช่องเมื่อเวลาผ่านไป เส้นประบ่งบอกถึงค่าเกณฑ์ของพารามิเตอร์

ในอินเทอร์เฟซเว็บ คุณสามารถดูวิธีการกระจายการรับส่งข้อมูลตามจำนวนข้อมูลที่ส่ง/รับ และจำนวนเซสชัน:

นอกเหนือจากทั้งหมดนี้ ยังมีโอกาสที่ดีเยี่ยมในการติดตามการผ่านของแพ็กเก็ตที่มีรายละเอียดสูงสุด เมื่อทำงานในเครือข่ายจริง การกำหนดค่าอุปกรณ์จะสะสมนโยบายการกำหนดเส้นทาง ไฟร์วอลล์ และการกระจายการรับส่งข้อมูลผ่านพอร์ต SD-WAN จำนวนมาก ทั้งหมดนี้โต้ตอบกันในลักษณะที่ซับซ้อน และแม้ว่าผู้ขายจะให้บล็อกไดอะแกรมโดยละเอียดของอัลกอริธึมการประมวลผลแพ็คเก็ต แต่สิ่งสำคัญมากคือไม่สามารถสร้างและทดสอบทฤษฎีได้ แต่ต้องดูว่าการรับส่งข้อมูลจริงไปที่ใด

ยกตัวอย่างชุดคำสั่งต่อไปนี้

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

ช่วยให้คุณติดตามสองแพ็กเก็ตที่มีที่อยู่ต้นทาง 10.200.64.15 และที่อยู่ปลายทาง 10.1.7.2
เรา ping 10.7.1.2 จาก 10.200.64.15 สองครั้ง และดูที่เอาต์พุตบนคอนโซล

แพ็คเกจแรก:

แพ็คเกจที่สอง:

นี่คือแพ็กเก็ตแรกที่ไฟร์วอลล์ได้รับ:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

มีการสร้างเซสชันใหม่สำหรับเขา:
msg="allocate a new session-0006a627"

และพบการจับคู่ในการตั้งค่านโยบายการกำหนดเส้นทาง
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

ปรากฎว่าจำเป็นต้องส่งแพ็กเก็ตไปยังอุโมงค์ VPN อันใดอันหนึ่ง:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

ตรวจพบกฎการอนุญาตต่อไปนี้ในนโยบายไฟร์วอลล์:
msg="Allowed by Policy-3:"

แพ็กเก็ตถูกเข้ารหัสและส่งไปยังอุโมงค์ VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

แพ็กเก็ตที่เข้ารหัสจะถูกส่งไปยังที่อยู่เกตเวย์สำหรับอินเทอร์เฟซ WAN นี้:
msg="send to 2.2.2.2 via intf-WAN1"

สำหรับแพ็กเก็ตที่สอง ทุกอย่างเกิดขึ้นในลักษณะเดียวกัน แต่จะถูกส่งไปยังอุโมงค์ VPN อื่นและออกผ่านพอร์ตไฟร์วอลล์อื่น:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

ข้อดีของการแก้ปัญหา

ฟังก์ชั่นที่เชื่อถือได้และอินเทอร์เฟซที่ใช้งานง่าย ชุดคุณลักษณะที่มีอยู่ใน FortiOS ก่อนการถือกำเนิดของ SD-WAN ได้รับการเก็บรักษาไว้อย่างสมบูรณ์ นั่นคือเราไม่มีซอฟต์แวร์ที่พัฒนาขึ้นใหม่ แต่เป็นระบบที่สมบูรณ์จากผู้ขายไฟร์วอลล์ที่ได้รับการพิสูจน์แล้ว ด้วยชุดฟังก์ชันเครือข่ายแบบดั้งเดิม เว็บอินเตอร์เฟสที่สะดวกและง่ายต่อการเรียนรู้ มีผู้จำหน่าย SD-WAN กี่รายที่มีฟังก์ชัน Remote-Access VPN บนอุปกรณ์ปลายทาง

ความปลอดภัยระดับ 80 FortiGate เป็นหนึ่งในโซลูชั่นไฟร์วอลล์ชั้นนำ มีเนื้อหามากมายบนอินเทอร์เน็ตเกี่ยวกับการตั้งค่าและการจัดการไฟร์วอลล์ และในตลาดแรงงานมีผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากที่เชี่ยวชาญโซลูชันของผู้จำหน่ายแล้ว

ราคาศูนย์สำหรับฟังก์ชัน SD-WAN การสร้างเครือข่าย SD-WAN บน FortiGate มีค่าใช้จ่ายเหมือนกับการสร้างเครือข่าย WAN ปกติบนเครือข่าย เนื่องจากไม่จำเป็นต้องมีใบอนุญาตเพิ่มเติมเพื่อใช้ฟังก์ชันการทำงานของ SD-WAN

ราคาอุปสรรคในการเข้าต่ำ Fortigate มีการไล่ระดับอุปกรณ์ที่ดีสำหรับระดับประสิทธิภาพที่แตกต่างกัน รุ่นที่อายุน้อยที่สุดและราคาไม่แพงที่สุดค่อนข้างเหมาะสำหรับการขยายสำนักงานหรือจุดขายโดยพนักงาน 3-5 คน ผู้จำหน่ายหลายรายไม่มีรุ่นที่มีประสิทธิภาพต่ำและราคาไม่แพงเช่นนี้

ประสิทธิภาพสูง การลดฟังก์ชันการทำงานของ SD-WAN ลงเพื่อปรับสมดุลการรับส่งข้อมูลทำให้บริษัทสามารถเผยแพร่ SD-WAN ASIC แบบพิเศษได้ ซึ่งต้องขอบคุณการดำเนินการ SD-WAN ที่ไม่ลดประสิทธิภาพของไฟร์วอลล์โดยรวม

ความสามารถในการใช้งานสำนักงานทั้งหมดบนอุปกรณ์ของ Fortinet เหล่านี้คือคู่ของไฟร์วอลล์ สวิตช์ จุดเชื่อมต่อ Wi-Fi สำนักงานดังกล่าวจัดการได้ง่ายและสะดวก - สวิตช์และจุดเข้าใช้งานได้รับการลงทะเบียนบนไฟร์วอลล์และจัดการจากสวิตช์เหล่านั้น ตัวอย่างเช่น นี่คือลักษณะของพอร์ตสวิตช์จากอินเทอร์เฟซไฟร์วอลล์ที่ควบคุมสวิตช์นี้:

การขาดตัวควบคุมเป็นจุดหนึ่งของความล้มเหลว ผู้จำหน่ายเองก็มุ่งเน้นไปที่สิ่งนี้ แต่สิ่งนี้สามารถเรียกได้ว่าเป็นผลประโยชน์ในบางส่วนเท่านั้น เนื่องจากสำหรับผู้จำหน่ายที่มีตัวควบคุม การรับรองว่าความทนทานต่อข้อผิดพลาดนั้นมีราคาไม่แพง โดยส่วนใหญ่มักจะมีราคาของทรัพยากรการประมวลผลจำนวนเล็กน้อยในสภาพแวดล้อมเสมือนจริง

สิ่งที่ควรมองหา

ไม่มีการแยกระหว่าง Control Plane และ Data Plane. ซึ่งหมายความว่าจะต้องกำหนดค่าเครือข่ายด้วยตนเองหรือใช้เครื่องมือการจัดการแบบเดิมที่มีอยู่แล้ว - FortiManager สำหรับผู้ขายที่ได้ดำเนินการแยกดังกล่าว เครือข่ายจะประกอบขึ้นเอง ผู้ดูแลระบบอาจเพียงต้องปรับโทโพโลยี ห้ามทำสิ่งใดสิ่งหนึ่ง ไม่มีอะไรเพิ่มเติม อย่างไรก็ตาม จุดเด่นของ FortiManager คือสามารถจัดการได้ไม่เพียงแต่ไฟร์วอลล์เท่านั้น แต่ยังรวมถึงสวิตช์และจุดเชื่อมต่อ Wi-Fi ซึ่งก็คือเครือข่ายเกือบทั้งหมด

เพิ่มความสามารถในการควบคุมตามเงื่อนไข เนื่องจากมีการใช้เครื่องมือแบบดั้งเดิมเพื่อทำให้การกำหนดค่าเครือข่ายเป็นแบบอัตโนมัติ ความสามารถในการจัดการเครือข่ายด้วยการใช้ SD-WAN จึงเพิ่มขึ้นเล็กน้อย ในทางกลับกัน ฟังก์ชันใหม่จะพร้อมใช้งานเร็วขึ้น เนื่องจากผู้จำหน่ายเผยแพร่ครั้งแรกสำหรับระบบปฏิบัติการไฟร์วอลล์เท่านั้น (ซึ่งทำให้สามารถใช้งานได้ทันที) จากนั้นจึงเสริมระบบการจัดการด้วยอินเทอร์เฟซที่จำเป็นเท่านั้น

ฟังก์ชั่นบางอย่างอาจใช้งานได้จากบรรทัดคำสั่ง แต่ไม่สามารถใช้งานได้จากเว็บอินเตอร์เฟส บางครั้งการเข้าสู่บรรทัดคำสั่งเพื่อกำหนดค่าบางอย่างไม่ใช่เรื่องน่ากลัว แต่ก็น่ากลัวที่จะไม่เห็นในเว็บอินเตอร์เฟสที่มีคนกำหนดค่าบางอย่างจากบรรทัดคำสั่งแล้ว แต่สิ่งนี้มักจะนำไปใช้กับคุณสมบัติใหม่ล่าสุดและค่อยๆ ด้วยการอัพเดต FortiOS ความสามารถของเว็บอินเตอร์เฟสก็ได้รับการปรับปรุง

ใครจะเหมาะ

สำหรับใครที่มีสาขาไม่มาก การใช้โซลูชัน SD-WAN กับส่วนประกอบส่วนกลางที่ซับซ้อนบนเครือข่าย 8-10 สาขาอาจไม่เสียค่าใช้จ่ายมากนัก คุณจะต้องเสียเงินไปกับใบอนุญาตสำหรับอุปกรณ์ SD-WAN และทรัพยากรระบบการจำลองเสมือนเพื่อโฮสต์ส่วนประกอบส่วนกลาง บริษัทขนาดเล็กมักจะมีทรัพยากรคอมพิวเตอร์ฟรีที่จำกัด ในกรณีของ Fortinet การซื้อไฟร์วอลล์ก็เพียงพอแล้ว

สำหรับผู้ที่มีสาขาเล็กๆ จำนวนมาก สำหรับผู้จำหน่ายหลายราย ราคาโซลูชั่นขั้นต่ำต่อสาขาค่อนข้างสูง และอาจไม่น่าสนใจจากมุมมองของธุรกิจของลูกค้าปลายทาง Fortinet นำเสนออุปกรณ์ขนาดเล็กในราคาที่น่าดึงดูดใจ

สำหรับผู้ที่ยังไม่พร้อมที่จะก้าวไปไกลเกินไป การใช้ SD-WAN กับคอนโทรลเลอร์ การกำหนดเส้นทางที่เป็นกรรมสิทธิ์ และแนวทางใหม่ในการวางแผนและการจัดการเครือข่ายอาจเป็นก้าวที่ใหญ่เกินไปสำหรับลูกค้าบางราย ใช่ การใช้งานดังกล่าวจะช่วยเพิ่มประสิทธิภาพการใช้ช่องทางการสื่อสารและการทำงานของผู้ดูแลระบบในท้ายที่สุด แต่ก่อนอื่นคุณจะต้องเรียนรู้สิ่งใหม่ๆ มากมาย สำหรับผู้ที่ยังไม่พร้อมสำหรับการปรับเปลี่ยนกระบวนทัศน์ แต่ต้องการบีบช่องทางการสื่อสารให้มากขึ้น วิธีแก้ปัญหาจาก Fortinet นั้นใช่เลย

ที่มา: will.com