Sa paghusga sa bilang ng mga tanong na nagsimulang dumating sa amin sa pamamagitan ng SD-WAN, ang teknolohiya ay nagsimulang lubusang mag-ugat sa Russia. Ang mga vendor, natural, ay hindi natutulog at nag-aalok ng kanilang mga konsepto, at ang ilang matapang na pioneer ay nagpapatupad na ng mga ito sa kanilang mga network.
Nakikipagtulungan kami sa halos lahat ng mga vendor, at sa loob ng ilang taon sa aming laboratoryo, nagawa kong suriin ang arkitektura ng bawat pangunahing developer ng mga solusyon na tinukoy ng software. Ang SD-WAN mula sa Fortinet ay nakatayo ng kaunti rito, na nagtayo lamang ng functionality ng pagbabalanse ng trapiko sa pagitan ng mga channel ng komunikasyon sa firewall software. Ang solusyon ay medyo demokratiko, kaya karaniwang isinasaalang-alang ito ng mga kumpanyang hindi pa handa para sa mga pandaigdigang pagbabago, ngunit gustong gamitin ang kanilang mga channel sa komunikasyon nang mas epektibo.
Sa artikulong ito gusto kong sabihin sa iyo kung paano i-configure at magtrabaho kasama ang SD-WAN mula sa Fortinet, kung kanino angkop ang solusyon na ito at kung anong mga pitfalls ang maaari mong makaharap dito.
Ang pinakatanyag na mga manlalaro sa merkado ng SD-WAN ay maaaring maiuri sa isa sa dalawang uri:
1. Mga startup na lumikha ng mga solusyon sa SD-WAN mula sa simula. Ang pinakamatagumpay sa mga ito ay tumatanggap ng malaking impetus para sa pag-unlad pagkatapos mabili ng malalaking kumpanya - ito ang kuwento ng Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Malaking network vendor na lumikha ng mga solusyon sa SD-WAN, na nagpapaunlad ng programmability at manageability ng kanilang mga tradisyunal na router - ito ang kwento ng Juniper, Huawei
Nakahanap ng paraan si Fortinet. Ang software ng firewall ay may built-in na functionality na naging posible upang pagsamahin ang kanilang mga interface sa mga virtual na channel at balansehin ang load sa pagitan ng mga ito gamit ang mga kumplikadong algorithm kumpara sa conventional routing. Ang pagpapaandar na ito ay tinatawag na SD-WAN. Matatawag bang SD-WAN ang ginawa ng Fortinet? Unti-unting nauunawaan ng merkado na ang Software-Defined ay nangangahulugan ng paghihiwalay ng Control Plane mula sa Data Plane, mga dedikadong controller, at orkestra. Walang ganoon ang Fortinet. Ang sentralisadong pamamahala ay opsyonal at inaalok sa pamamagitan ng tradisyonal na tool ng Fortimanager. Ngunit sa aking palagay, hindi ka dapat maghanap ng abstract na katotohanan at mag-aksaya ng oras na makipagtalo tungkol sa mga termino. Sa totoong mundo, ang bawat diskarte ay may mga pakinabang at disadvantages nito. Ang pinakamahusay na paraan ay upang maunawaan ang mga ito at makapili ng mga solusyon na tumutugma sa mga gawain.
Susubukan kong sabihin sa iyo na may hawak na mga screenshot kung ano ang hitsura ng SD-WAN mula sa Fortinet at kung ano ang magagawa nito.
Paano gumagana ang lahat
Ipagpalagay natin na mayroon kang dalawang sangay na konektado ng dalawang channel ng data. Ang mga link ng data na ito ay pinagsama sa isang grupo, katulad ng kung paano pinagsama ang mga regular na interface ng Ethernet sa isang LACP-Port-Channel. Matatandaan ng mga lumang-timer ang PPP Multilink - isa ring angkop na pagkakatulad. Ang mga channel ay maaaring mga pisikal na port, VLAN SVI, pati na rin ang mga VPN o GRE tunnel.
Karaniwang ginagamit ang VPN o GRE kapag kumukonekta sa mga lokal na network ng sangay sa Internet. At mga pisikal na port - kung may mga L2 na koneksyon sa pagitan ng mga site, o kapag kumokonekta sa isang nakalaang MPLS/VPN, kung kami ay nasiyahan sa koneksyon nang walang Overlay at encryption. Ang isa pang senaryo kung saan ang mga pisikal na port ay ginagamit sa isang SD-WAN na grupo ay ang pagbabalanse sa lokal na pag-access ng mga user sa Internet.
Sa aming kinatatayuan mayroong apat na firewall at dalawang VPN tunnel na tumatakbo sa pamamagitan ng dalawang "operator ng komunikasyon". Ang diagram ay ganito ang hitsura:
Ang mga VPN tunnel ay na-configure sa interface mode upang ang mga ito ay katulad ng mga point-to-point na koneksyon sa pagitan ng mga device na may mga IP address sa mga P2P interface, na maaaring i-ping upang matiyak na ang komunikasyon sa pamamagitan ng isang partikular na tunnel ay gumagana. Upang ang trapiko ay ma-encrypt at pumunta sa kabaligtaran, sapat na upang iruta ito sa tunnel. Ang alternatibo ay ang pumili ng trapiko para sa pag-encrypt gamit ang mga listahan ng mga subnet, na lubos na nakakalito sa administrator habang nagiging mas kumplikado ang pagsasaayos. Sa isang malaking network, maaari mong gamitin ang teknolohiya ng ADVPN upang bumuo ng isang VPN; ito ay isang analogue ng DMVPN mula sa Cisco o DVPN mula sa Huawei, na nagbibigay-daan para sa mas madaling pag-setup.
Site-to-Site VPN config para sa dalawang device na may BGP routing sa magkabilang panig
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Ibinibigay ko ang config sa text form, dahil, sa aking opinyon, mas maginhawang i-configure ang VPN sa ganitong paraan. Halos lahat ng mga setting ay pareho sa magkabilang panig; sa anyo ng teksto maaari silang gawin bilang isang kopya-paste. Kung gagawin mo ang parehong bagay sa web interface, madaling magkamali - kalimutan ang isang checkmark sa isang lugar, ilagay ang maling halaga.
Pagkatapos naming idagdag ang mga interface sa bundle
lahat ng ruta at patakaran sa seguridad ay maaaring sumangguni dito, at hindi sa mga interface na kasama dito. Sa pinakamababa, kailangan mong payagan ang trapiko mula sa mga panloob na network patungo sa SD-WAN. Kapag gumawa ka ng mga panuntunan para sa kanila, maaari kang maglapat ng mga proteksiyong hakbang gaya ng pagsisiwalat ng IPS, antivirus at HTTPS.
Ang Mga Panuntunan ng SD-WAN ay na-configure para sa bundle. Ito ang mga panuntunang tumutukoy sa algorithm ng pagbabalanse para sa partikular na trapiko. Ang mga ito ay katulad ng mga patakaran sa pagruruta sa Pagruruta na Nakabatay sa Patakaran, bilang resulta lamang ng trapikong napapailalim sa patakaran, hindi ang next-hop o ang karaniwang papalabas na interface ang naka-install, ngunit ang mga interface na idinagdag sa SD-WAN bundle plus isang algorithm sa pagbabalanse ng trapiko sa pagitan ng mga interface na ito.
Ang trapiko ay maaaring ihiwalay mula sa pangkalahatang daloy sa pamamagitan ng L3-L4 na impormasyon, sa pamamagitan ng mga kinikilalang aplikasyon, mga serbisyo sa Internet (URL at IP), pati na rin ng mga kinikilalang gumagamit ng mga workstation at laptop. Pagkatapos nito, maaaring italaga ang isa sa mga sumusunod na algorithm sa pagbabalanse sa inilalaang trapiko:
Sa listahan ng Interface Preference, ang mga interface na iyon mula sa mga naidagdag na sa bundle na magsisilbi sa ganitong uri ng trapiko ay pinili. Sa pamamagitan ng pagdaragdag ng hindi lahat ng mga interface, maaari mong limitahan kung aling mga channel ang iyong ginagamit, halimbawa, email, kung hindi mo nais na pasanin ang mga mamahaling channel na may mataas na SLA dito. Sa FortiOS 6.4.1, naging posible na igrupo ang mga interface na idinagdag sa SD-WAN bundle sa mga zone, na lumilikha, halimbawa, isang zone para sa komunikasyon sa mga malalayong site, at isa pa para sa lokal na pag-access sa Internet gamit ang NAT. Oo, oo, ang trapiko na napupunta sa regular na Internet ay maaari ding maging balanse.
Tungkol sa pagbabalanse ng mga algorithm
Tungkol sa kung paano maaaring hatiin ng Fortigate (isang firewall mula sa Fortinet) ang trapiko sa pagitan ng mga channel, mayroong dalawang kawili-wiling opsyon na hindi masyadong karaniwan sa merkado:
Pinakamababang Gastos (SLA) – mula sa lahat ng mga interface na nagbibigay-kasiyahan sa SLA sa ngayon, ang isa na may mas mababang timbang (gastos), na manu-manong itinakda ng administrator, ay napili; ang mode na ito ay angkop para sa "bulk" na trapiko tulad ng mga backup at paglilipat ng file.
Pinakamahusay na Kalidad (SLA) – ang algorithm na ito, bilang karagdagan sa karaniwang pagkaantala, jitter at pagkawala ng mga Fortigate packet, ay maaari ding gamitin ang kasalukuyang load ng channel upang masuri ang kalidad ng mga channel; Ang mode na ito ay angkop para sa sensitibong trapiko tulad ng VoIP at video conferencing.
Ang mga algorithm na ito ay nangangailangan ng pag-set up ng isang metro ng pagganap ng channel ng komunikasyon - Performance SLA. Pana-panahong sinusubaybayan ng meter na ito (check interval) ang impormasyon tungkol sa pagsunod sa SLA: pagkawala ng packet, latency at jitter sa channel ng komunikasyon, at maaaring "tanggihan" ang mga channel na iyon na kasalukuyang hindi nakakatugon sa mga limitasyon ng kalidad - masyadong maraming packet ang nawawala o nakakaranas din sila. maraming latency. Bilang karagdagan, sinusubaybayan ng metro ang katayuan ng channel, at maaaring pansamantalang alisin ito mula sa bundle kung sakaling paulit-ulit na pagkawala ng mga tugon (mga pagkabigo bago hindi aktibo). Kapag naibalik, pagkatapos ng ilang magkakasunod na tugon (ibalik ang link pagkatapos), awtomatikong ibabalik ng meter ang channel sa bundle, at ang data ay magsisimulang ipadala muli sa pamamagitan nito.
Ganito ang hitsura ng setting ng "metro":
Sa web interface, available ang ICMP-Echo-request, HTTP-GET at DNS request bilang mga test protocol. Mayroong kaunti pang mga opsyon sa command line: Available ang mga opsyon sa TCP-echo at UDP-echo, pati na rin ang isang espesyal na protocol ng pagsukat ng kalidad - TWAMP.
Ang mga resulta ng pagsukat ay makikita rin sa web interface:
At sa command line:
Pag-troubleshoot
Kung gumawa ka ng panuntunan, ngunit hindi gumagana ang lahat gaya ng inaasahan, dapat mong tingnan ang halaga ng Hit Count sa listahan ng Mga Panuntunan ng SD-WAN. Ipapakita nito kung ang trapiko ay nahuhulog sa panuntunang ito:
Sa page ng mga setting ng meter mismo, makikita mo ang pagbabago sa mga parameter ng channel sa paglipas ng panahon. Isinasaad ng may tuldok na linya ang halaga ng threshold ng parameter
Sa web interface, makikita mo kung paano ibinabahagi ang trapiko ayon sa dami ng data na ipinadala/natanggap at ang bilang ng mga session:
Bilang karagdagan sa lahat ng ito, mayroong isang mahusay na pagkakataon upang subaybayan ang pagpasa ng mga packet na may pinakamataas na detalye. Kapag nagtatrabaho sa isang tunay na network, ang configuration ng device ay nag-iipon ng maraming patakaran sa pagruruta, firewall, at pamamahagi ng trapiko sa mga SD-WAN port. Ang lahat ng ito ay nakikipag-ugnayan sa isa't isa sa isang masalimuot na paraan, at bagama't ang vendor ay nagbibigay ng mga detalyadong block diagram ng packet processing algorithm, napakahalaga na hindi makabuo at sumubok ng mga teorya, ngunit upang makita kung saan talaga napupunta ang trapiko.
Halimbawa, ang sumusunod na hanay ng mga utos
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Binibigyang-daan kang subaybayan ang dalawang packet na may source address na 10.200.64.15 at destination address na 10.1.7.2.
Nag-ping kami ng 10.7.1.2 mula 10.200.64.15 nang dalawang beses at tinitingnan ang output sa console.
Unang pakete:
Pangalawang pakete:
Narito ang unang packet na natanggap ng firewall:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Isang bagong session ang ginawa para sa kanya:
msg="allocate a new session-0006a627"
At may nakitang tugma sa mga setting ng patakaran sa pagruruta
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Lumalabas na ang packet ay kailangang ipadala sa isa sa mga VPN tunnels:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Ang sumusunod na panuntunan sa pagpapahintulot ay nakita sa mga patakaran ng firewall:
msg="Allowed by Policy-3:"
Ang packet ay naka-encrypt at ipinadala sa VPN tunnel:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Ang naka-encrypt na packet ay ipinadala sa gateway address para sa WAN interface na ito:
msg="send to 2.2.2.2 via intf-WAN1"
Para sa pangalawang packet, ang lahat ay nangyayari nang katulad, ngunit ito ay ipinadala sa isa pang VPN tunnel at umalis sa pamamagitan ng ibang firewall port:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Mga kalamangan ng solusyon
Maaasahang functionality at user-friendly na interface. Ang set ng tampok na magagamit sa FortiOS bago ang pagdating ng SD-WAN ay ganap na napanatili. Iyon ay, wala kaming bagong binuo na software, ngunit isang mature na sistema mula sa isang napatunayang vendor ng firewall. Gamit ang tradisyonal na hanay ng mga function ng network, isang maginhawa at madaling matutunang web interface. Gaano karaming mga vendor ng SD-WAN ang mayroon, halimbawa, Remote-Access VPN functionality sa mga end device?
Antas ng seguridad 80. Ang FortiGate ay isa sa mga nangungunang solusyon sa firewall. Mayroong maraming materyal sa Internet sa pag-set up at pangangasiwa ng mga firewall, at sa merkado ng paggawa mayroong maraming mga espesyalista sa seguridad na nakabisado na ang mga solusyon ng vendor.
Zero na presyo para sa SD-WAN functionality. Ang pagbuo ng isang SD-WAN network sa FortiGate ay nagkakahalaga ng kapareho ng pagbuo ng isang regular na network ng WAN dito, dahil walang karagdagang mga lisensya ang kailangan upang ipatupad ang SD-WAN functionality.
Mababang presyo ng hadlang sa pagpasok. Ang Fortigate ay may magandang gradasyon ng mga device para sa iba't ibang antas ng performance. Ang pinakabata at pinakamurang mga modelo ay angkop para sa pagpapalawak ng isang opisina o punto ng pagbebenta ng, sabihin, 3-5 empleyado. Maraming mga vendor ang walang ganoong mababang pagganap at abot-kayang mga modelo.
Mataas na pagganap. Ang pagbabawas ng SD-WAN functionality sa traffic balancing ay nagbigay-daan sa kumpanya na maglabas ng isang espesyal na SD-WAN ASIC, salamat sa kung saan ang SD-WAN operation ay hindi nakakabawas sa performance ng firewall sa kabuuan.
Ang kakayahang magpatupad ng isang buong opisina sa Fortinet equipment. Ito ay isang pares ng mga firewall, switch, Wi-Fi access point. Ang ganitong opisina ay madali at maginhawa upang pamahalaan - ang mga switch at access point ay nakarehistro sa mga firewall at pinamamahalaan mula sa kanila. Halimbawa, ito ang maaaring hitsura ng switch port mula sa interface ng firewall na kumokontrol sa switch na ito:
Kakulangan ng mga controllers bilang isang solong punto ng pagkabigo. Ang vendor mismo ay nakatutok dito, ngunit ito ay maaari lamang tawaging isang benepisyo sa bahagi, dahil para sa mga vendor na may mga controllers, tinitiyak na ang kanilang fault tolerance ay mura, kadalasan sa presyo ng isang maliit na halaga ng mga mapagkukunan ng computing sa isang virtualization environment.
Ano ang hahanapin
Walang paghihiwalay sa pagitan ng Control Plane at Data Plane. Nangangahulugan ito na ang network ay dapat na i-configure nang manu-mano o gamit ang tradisyonal na mga tool sa pamamahala na magagamit na - FortiManager. Para sa mga vendor na nagpatupad ng gayong paghihiwalay, ang network ay binuo mismo. Maaaring kailanganin lang ng administrator na ayusin ang topology nito, ipagbawal ang isang bagay sa isang lugar, wala nang iba pa. Gayunpaman, ang trump card ng FortiManager ay maaari nitong pamahalaan hindi lamang ang mga firewall, kundi pati na rin ang mga switch at Wi-Fi access point, iyon ay, halos ang buong network.
Kondisyon na pagtaas sa pagkontrol. Dahil sa ang katunayan na ang mga tradisyonal na tool ay ginagamit upang i-automate ang pagsasaayos ng network, ang pamamahala ng network sa pagpapakilala ng SD-WAN ay bahagyang tumataas. Sa kabilang banda, ang bagong pag-andar ay nagiging mas mabilis, dahil ang vendor ay unang naglalabas nito para lamang sa firewall operating system (na agad na ginagawang posible na gamitin ito), at pagkatapos lamang ay nagdaragdag sa management system ng mga kinakailangang interface.
Maaaring available ang ilang functionality mula sa command line, ngunit hindi available mula sa web interface. Minsan hindi nakakatakot na pumunta sa command line para i-configure ang isang bagay, ngunit nakakatakot na hindi makita sa web interface na may nag-configure na ng isang bagay mula sa command line. Ngunit karaniwan itong nalalapat sa mga pinakabagong feature at unti-unti, kasama ang mga update ng FortiOS, ang mga kakayahan ng web interface ay napabuti.
Upang umangkop
Para sa mga walang masyadong branch. Ang pagpapatupad ng solusyon sa SD-WAN na may mga kumplikadong sentral na bahagi sa isang network ng 8-10 na sangay ay maaaring hindi magastos ng kandila - kakailanganin mong gumastos ng pera sa mga lisensya para sa mga SD-WAN device at mga mapagkukunan ng virtualization system upang i-host ang mga sentral na bahagi. Ang isang maliit na kumpanya ay karaniwang may limitadong libreng mapagkukunan ng computing. Sa kaso ng Fortinet, sapat na ang simpleng pagbili ng mga firewall.
Para sa mga maraming maliliit na branch. Para sa maraming vendor, ang pinakamababang presyo ng solusyon sa bawat sangay ay medyo mataas at maaaring hindi kawili-wili mula sa punto ng view ng negosyo ng end customer. Nag-aalok ang Fortinet ng maliliit na device sa talagang kaakit-akit na mga presyo.
Para sa mga hindi pa handang humakbang ng napakalayo. Ang pagpapatupad ng SD-WAN gamit ang mga controller, pagmamay-ari na pagruruta, at isang bagong diskarte sa pagpaplano at pamamahala ng network ay maaaring napakalaking hakbang para sa ilang mga customer. Oo, ang ganitong pagpapatupad sa huli ay makakatulong sa pag-optimize ng paggamit ng mga channel ng komunikasyon at ang gawain ng mga administrator, ngunit kailangan mo munang matuto ng maraming bagong bagay. Para sa mga hindi pa handa para sa isang paradigm shift, ngunit nais na ipitin pa ang kanilang mga channel ng komunikasyon, ang solusyon mula sa Fortinet ay tama lamang.
Pinagmulan: www.habr.com