SD-WAN orqali bizga kela boshlagan savollar soniga ko'ra, texnologiya Rossiyada chuqur ildiz otishni boshladi. Sotuvchilar, tabiiyki, uxlamaydilar va o'zlarining kontseptsiyalarini taklif qilishadi va ba'zi jasur kashshoflar ularni o'z tarmoqlarida allaqachon amalga oshirmoqdalar.
Biz deyarli barcha sotuvchilar bilan ishlaymiz va bir necha yil davomida laboratoriyamizda men dasturiy ta'minot bilan aniqlangan yechimlarning har bir yirik ishlab chiquvchisi arxitekturasini o'rganishga muvaffaq bo'ldim. Fortinet-dan SD-WAN bu erda bir oz farq qiladi, bu shunchaki xavfsizlik devori dasturiga aloqa kanallari orasidagi trafikni muvozanatlash funksiyasini yaratdi. Yechim ancha demokratik, shuning uchun odatda global o'zgarishlarga hali tayyor bo'lmagan, lekin o'zlarining aloqa kanallaridan samaraliroq foydalanishni xohlaydigan kompaniyalar tomonidan ko'rib chiqiladi.
Ushbu maqolada men sizga Fortinet-dan SD-WAN-ni qanday sozlash va u bilan ishlashni aytmoqchiman, bu yechim kimga mos keladi va bu erda qanday tuzoqlarga duch kelishingiz mumkin.
SD-WAN bozoridagi eng mashhur o'yinchilarni ikkita turdan biriga bo'lish mumkin:
1. SD-WAN yechimlarini noldan yaratgan startaplar. Ulardan eng muvaffaqiyatlisi yirik kompaniyalar tomonidan sotib olinganidan keyin rivojlanish uchun katta turtki oladi - bu Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia hikoyasi.
2. SD-WAN yechimlarini yaratgan yirik tarmoq sotuvchilari, an'anaviy marshrutizatorlarini dasturlash va boshqarish imkoniyatlarini rivojlantirdilar - bu Juniper, Huawei hikoyasi.
Fortinet o'z yo'lini topa oldi. Xavfsizlik devori dasturi o'rnatilgan funksionallikka ega bo'lib, bu ularning interfeyslarini virtual kanallarga birlashtirish va an'anaviy marshrutlash bilan solishtirganda murakkab algoritmlar yordamida ular orasidagi yukni muvozanatlash imkonini berdi. Ushbu funktsiya SD-WAN deb nomlangan. Fortinetni SD-WAN deb atash mumkinmi? Bozor asta-sekin dasturiy ta'minot bilan belgilangan boshqaruv tekisligini ma'lumotlar tekisligidan, maxsus kontrollerlardan va orkestrlardan ajratishni anglatishini tushunib yetmoqda. Fortinet-da bunday narsa yo'q. Markazlashtirilgan boshqaruv ixtiyoriy va an'anaviy Fortimanager vositasi orqali taklif etiladi. Lekin mening fikrimcha, siz mavhum haqiqatni izlamasligingiz va atamalar haqida bahslashishga vaqt sarflamasligingiz kerak. Haqiqiy dunyoda har bir yondashuv o'zining afzalliklari va kamchiliklariga ega. Eng yaxshi yo'l - ularni tushunish va vazifalarga mos keladigan echimlarni tanlashdir.
Men sizga qo'limdagi skrinshotlar bilan Fortinet-dan SD-WAN qanday ko'rinishini va u nimaga qodirligini aytib berishga harakat qilaman.
Hammasi qanday ishlaydi
Faraz qilaylik, sizda ikkita ma'lumot kanali bilan bog'langan ikkita filial bor. Ushbu ma'lumotlar havolalari oddiy Ethernet interfeyslari LACP-Port-Kanalga qanday birlashtirilganiga o'xshash guruhga birlashtirilgan. Qadimgi odamlar PPP Multilinkni eslab qolishadi - bu ham mos analogiya. Kanallar jismoniy portlar, VLAN SVI, shuningdek VPN yoki GRE tunnellari bo'lishi mumkin.
VPN yoki GRE odatda tarmoqning mahalliy tarmoqlarini Internet orqali ulashda ishlatiladi. Va jismoniy portlar - agar saytlar o'rtasida L2 ulanishlari mavjud bo'lsa yoki maxsus MPLS/VPN orqali ulanishda, agar biz Overlay va shifrlashsiz ulanishdan qoniqsak. SD-WAN guruhida jismoniy portlardan foydalanishning yana bir stsenariysi foydalanuvchilarning Internetga mahalliy kirishini muvozanatlashdir.
Bizning stendimizda ikkita "aloqa operatori" orqali ishlaydigan to'rtta xavfsizlik devori va ikkita VPN tunnel mavjud. Diagramma quyidagicha ko'rinadi:
VPN tunnellari interfeys rejimida konfiguratsiya qilingan, ular P2P interfeyslarida IP manzillari bo'lgan qurilmalar o'rtasidagi nuqtadan nuqtaga ulanishga o'xshash bo'lib, ular ma'lum bir tunnel orqali aloqa ishlashini ta'minlash uchun ping orqali yuborilishi mumkin. Trafik shifrlanishi va qarama-qarshi tomonga o'tishi uchun uni tunnelga yo'naltirish kifoya. Shu bilan bir qatorda quyi tarmoqlar ro‘yxatidan foydalanib shifrlash uchun trafikni tanlash mumkin, bu esa konfiguratsiya murakkablashgani sababli administratorni juda chalkashtirib yuboradi. Katta tarmoqda VPN yaratish uchun ADVPN texnologiyasidan foydalanishingiz mumkin; bu Cisco’dan DMVPN yoki Huawei’dan DVPN’ning analogi bo‘lib, sozlashni osonlashtiradi.
Ikkala tomonda BGP marshrutiga ega ikkita qurilma uchun saytdan saytga VPN konfiguratsiyasi
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Men konfiguratsiyani matn shaklida taqdim qilyapman, chunki mening fikrimcha, VPNni shu tarzda sozlash qulayroq. Deyarli barcha sozlamalar har ikki tomonda bir xil; matn shaklida ular nusxa ko'chirish va joylashtirish sifatida amalga oshirilishi mumkin. Agar siz veb-interfeysda xuddi shunday qilsangiz, xato qilish oson - biror joyda tasdiq belgisini unuting, noto'g'ri qiymatni kiriting.
To'plamga interfeyslarni qo'shganimizdan so'ng
barcha marshrutlar va xavfsizlik siyosatlari unga kiritilgan interfeyslarga emas, balki unga murojaat qilishi mumkin. Hech bo'lmaganda, siz ichki tarmoqlardan SD-WAN ga trafikga ruxsat berishingiz kerak. Ular uchun qoidalar yaratganingizda, siz IPS, antivirus va HTTPSni oshkor qilish kabi himoya choralarini qo'llashingiz mumkin.
SD-WAN qoidalari to'plam uchun sozlangan. Bu muayyan trafik uchun muvozanatlash algoritmini belgilaydigan qoidalar. Ular Siyosatga asoslangan marshrutlashdagi marshrutlash siyosatiga o'xshaydi, faqat trafik siyosatiga to'g'ri kelishi natijasida keyingi yoki odatiy chiquvchi interfeys emas, balki SD-WAN to'plamiga qo'shilgan interfeyslar o'rnatiladi. ushbu interfeyslar orasidagi trafikni muvozanatlash algoritmi.
Trafik umumiy oqimdan L3-L4 ma'lumotlari, taniqli ilovalar, Internet xizmatlari (URL va IP), shuningdek ish stantsiyalari va noutbuklarning taniqli foydalanuvchilari tomonidan ajratilishi mumkin. Shundan so'ng, ajratilgan trafikka quyidagi muvozanatlash algoritmlaridan biri tayinlanishi mumkin:
Interfeys imtiyozlari ro'yxatida ushbu turdagi trafikka xizmat qiladigan paketga allaqachon qo'shilgan interfeyslar tanlanadi. Barcha interfeyslarni qo'shish orqali siz qimmatbaho kanallarni yuqori SLA bilan yuklamoqchi bo'lmasangiz, aynan qaysi kanallardan foydalanishingizni, masalan, elektron pochta xabarlarini cheklashingiz mumkin. FortiOS 6.4.1 da SD-WAN to'plamiga qo'shilgan interfeyslarni zonalarga guruhlash mumkin bo'ldi, masalan, masofaviy saytlar bilan aloqa qilish uchun bitta zona va NAT yordamida mahalliy Internetga kirish uchun boshqa zona. Ha, ha, oddiy Internetga ketadigan trafik ham muvozanatli bo'lishi mumkin.
Balanslash algoritmlari haqida
Fortigate (Fortinet-ning xavfsizlik devori) trafikni kanallar o'rtasida qanday taqsimlashi mumkinligiga kelsak, bozorda unchalik keng tarqalgan bo'lmagan ikkita qiziqarli variant mavjud:
Eng kam xarajat (SLA) - hozirgi vaqtda SLAni qondiradigan barcha interfeyslardan ma'mur tomonidan qo'lda o'rnatilgan vazni (narxi) past bo'lgan interfeys tanlanadi; bu rejim zahira nusxalari va fayllarni uzatish kabi "ommaviy" trafik uchun javob beradi.
Eng yaxshi sifat (SLA) - bu algoritm, odatdagi kechikish, jitter va Fortigate paketlarini yo'qotishdan tashqari, kanallar sifatini baholash uchun joriy kanal yukidan ham foydalanishi mumkin; Ushbu rejim VoIP va video konferentsiya kabi nozik trafik uchun javob beradi.
Ushbu algoritmlar aloqa kanali unumdorligini o'lchagichni o'rnatishni talab qiladi - Performance SLA. Ushbu hisoblagich vaqti-vaqti bilan (tekshirish oralig'i) SLAga muvofiqligi haqidagi ma'lumotlarni kuzatib boradi: aloqa kanalidagi paket yo'qolishi, kechikish va jitter va hozirda sifat chegaralariga mos kelmaydigan kanallarni "rad etishi" mumkin - ular juda ko'p paketlarni yo'qotmoqda yoki juda ko'p tajribaga ega. juda kechikish. Bundan tashqari, hisoblagich kanalning holatini kuzatib boradi va javoblar qayta-qayta yo'qolgan taqdirda (faol bo'lgunga qadar nosozliklar) uni vaqtincha to'plamdan olib tashlashi mumkin. Qayta tiklanganda, bir necha ketma-ket javoblardan so'ng (bog'lanishni tiklashdan keyin), hisoblagich avtomatik ravishda kanalni to'plamga qaytaradi va ma'lumotlar u orqali yana uzatila boshlaydi.
"Meter" sozlamalari quyidagicha ko'rinadi:
Veb-interfeysda ICMP-Echo-request, HTTP-GET va DNS so'rovlari sinov protokollari sifatida mavjud. Buyruqlar satrida biroz ko'proq imkoniyatlar mavjud: TCP-echo va UDP-echo variantlari, shuningdek, ixtisoslashtirilgan sifat o'lchash protokoli - TWAMP mavjud.
O'lchov natijalarini veb-interfeysda ham ko'rish mumkin:
Va buyruq satrida:
Muammolarni bartaraf qilish; nosozliklarni TUZATISH
Agar siz qoida yaratgan bo'lsangiz, lekin hamma narsa kutilganidek ishlamasa, SD-WAN qoidalari ro'yxatidagi Hit Count qiymatiga qarashingiz kerak. Trafik ushbu qoidaga to'g'ri keladimi yoki yo'qligini ko'rsatadi:
Hisoblagichning sozlamalar sahifasida vaqt o'tishi bilan kanal parametrlarining o'zgarishini ko'rishingiz mumkin. Nuqtali chiziq parametrning chegara qiymatini bildiradi
Veb-interfeysda siz uzatilgan/qabul qilingan ma'lumotlar miqdori va seanslar soni bo'yicha trafik qanday taqsimlanganligini ko'rishingiz mumkin:
Bularning barchasiga qo'shimcha ravishda, maksimal tafsilotlar bilan paketlarning o'tishini kuzatish uchun ajoyib imkoniyat mavjud. Haqiqiy tarmoqda ishlaganda, qurilma konfiguratsiyasi ko'plab marshrutlash siyosatlarini, xavfsizlik devorini va SD-WAN portlari bo'ylab trafikni taqsimlashni to'playdi. Bularning barchasi bir-biri bilan murakkab tarzda o'zaro ta'sir qiladi va sotuvchi paketlarni qayta ishlash algoritmlarining batafsil blok diagrammalarini taqdim etgan bo'lsa-da, nazariyalarni qurish va sinab ko'rish emas, balki trafik qayerga ketayotganini ko'rish juda muhimdir.
Masalan, quyidagi buyruqlar to'plami
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Manba manzili 10.200.64.15 va maqsad manzili 10.1.7.2 bo'lgan ikkita paketni kuzatish imkonini beradi.
Biz 10.7.1.2 ni 10.200.64.15 dan ikki marta ping qilamiz va konsoldagi chiqishga qaraymiz.
Birinchi paket:
Ikkinchi paket:
Mana xavfsizlik devori tomonidan qabul qilingan birinchi paket:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Uning uchun yangi sessiya yaratildi:
msg="allocate a new session-0006a627"
Va marshrutlash siyosati sozlamalarida moslik topildi
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Ma'lum bo'lishicha, paketni VPN tunnellaridan biriga yuborish kerak:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Xavfsizlik devori siyosatida quyidagi ruxsat berish qoidasi aniqlanadi:
msg="Allowed by Policy-3:"
Paket shifrlangan va VPN tunneliga yuboriladi:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Shifrlangan paket ushbu WAN interfeysi uchun shlyuz manziliga yuboriladi:
msg="send to 2.2.2.2 via intf-WAN1"
Ikkinchi paket uchun hamma narsa xuddi shunday sodir bo'ladi, lekin u boshqa VPN tunneliga yuboriladi va boshqa xavfsizlik devori porti orqali chiqadi:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Yechimning ijobiy tomonlari
Ishonchli funksionallik va foydalanuvchilarga qulay interfeys. SD-WAN paydo bo'lishidan oldin FortiOS-da mavjud bo'lgan xususiyatlar to'plami to'liq saqlanib qolgan. Ya'ni, bizda yangi ishlab chiqilgan dasturiy ta'minot yo'q, ammo tasdiqlangan xavfsizlik devori sotuvchisining etuk tizimi. Tarmoq funktsiyalarining an'anaviy to'plami, qulay va o'rganish oson veb-interfeys bilan. Qancha SD-WAN sotuvchisi, aytaylik, oxirgi qurilmalarda masofaviy kirish VPN funksiyasiga ega?
Xavfsizlik darajasi 80. FortiGate xavfsizlik devorining eng yaxshi yechimlaridan biridir. Internetda xavfsizlik devorlarini o'rnatish va boshqarish bo'yicha juda ko'p materiallar mavjud va mehnat bozorida sotuvchining echimlarini allaqachon o'zlashtirgan ko'plab xavfsizlik mutaxassislari mavjud.
SD-WAN funksiyasi uchun nol narx. FortiGate-da SD-WAN tarmog'ini qurish oddiy WAN tarmog'ini qurish bilan bir xil xarajat qiladi, chunki SD-WAN funksiyasini amalga oshirish uchun qo'shimcha litsenziyalar kerak emas.
Kirish to'sig'ining past narxi. Fortigate turli xil ishlash darajalari uchun qurilmalarning yaxshi gradatsiyasiga ega. Eng yosh va eng arzon modellar, masalan, 3-5 xodim tomonidan ofis yoki savdo nuqtasini kengaytirish uchun juda mos keladi. Ko'pgina sotuvchilarda bunday past samarali va arzon modellar yo'q.
Yuqori ishlash. SD-WAN funksiyasini trafik balansiga qisqartirish kompaniyaga ixtisoslashtirilgan SD-WAN ASIC-ni chiqarishga imkon berdi, buning natijasida SD-WAN operatsiyasi umuman xavfsizlik devori ish faoliyatini kamaytirmaydi.
Fortinet uskunasida butun ofisni amalga oshirish imkoniyati. Bular bir juft xavfsizlik devori, kalitlar, Wi-Fi kirish nuqtalari. Bunday ofisni boshqarish oson va qulay - kalitlar va kirish nuqtalari xavfsizlik devorlarida ro'yxatga olinadi va ulardan boshqariladi. Misol uchun, ushbu kalitni boshqaradigan xavfsizlik devori interfeysidan kalit porti shunday ko'rinishi mumkin:
Bitta nosozlik nuqtasi sifatida nazoratchilarning etishmasligi. Sotuvchining o'zi bunga e'tibor qaratadi, lekin buni faqat qisman foyda deb atash mumkin, chunki kontrollerlari bo'lgan sotuvchilar uchun ularning xatolarga chidamliligini ta'minlash arzon, ko'pincha virtualizatsiya muhitida kichik miqdordagi hisoblash resurslari narxida.
Nima izlash kerak
Boshqaruv tekisligi va ma'lumotlar tekisligi o'rtasida ajratilmagan. Bu shuni anglatadiki, tarmoqni qo'lda yoki allaqachon mavjud bo'lgan an'anaviy boshqaruv vositalari - FortiManager yordamida sozlash kerak. Bunday ajratishni amalga oshirgan sotuvchilar uchun tarmoq o'zi yig'iladi. Administrator faqat topologiyasini sozlashi, biror joyda biror narsani taqiqlashi kerak, boshqa hech narsa emas. Biroq, FortiManagerning kozi shundaki, u nafaqat xavfsizlik devorlarini, balki kalitlarni va Wi-Fi ulanish nuqtalarini, ya'ni deyarli butun tarmoqni boshqarishi mumkin.
Boshqarish qobiliyatini shartli ravishda oshirish. Tarmoq konfiguratsiyasini avtomatlashtirish uchun an'anaviy vositalar qo'llanilganligi sababli, SD-WAN joriy etilishi bilan tarmoqni boshqarish qobiliyati biroz oshadi. Boshqa tomondan, yangi funksionallik tezroq mavjud bo'ladi, chunki sotuvchi avval uni faqat xavfsizlik devori operatsion tizimi uchun chiqaradi (bu darhol undan foydalanishga imkon beradi) va shundan keyingina boshqaruv tizimini kerakli interfeyslar bilan to'ldiradi.
Ba'zi funksiyalar buyruq satridan mavjud bo'lishi mumkin, lekin veb-interfeysda mavjud emas. Ba'zan biror narsani sozlash uchun buyruq satriga kirish unchalik qo'rqinchli emas, lekin veb-interfeysda kimdir buyruq satridan biror narsani allaqachon sozlaganligini ko'rmaslik qo'rqinchli. Lekin bu odatda eng yangi funksiyalar uchun amal qiladi va asta-sekin FortiOS yangilanishlari bilan veb-interfeys imkoniyatlari yaxshilanadi.
Kerakli
Ko'p filiallari bo'lmaganlar uchun. 8-10 ta filial tarmog'ida murakkab markaziy komponentlar bilan SD-WAN yechimini amalga oshirish juda qimmatga tushmasligi mumkin - siz SD-WAN qurilmalari uchun litsenziyalar va markaziy komponentlarni joylashtirish uchun virtualizatsiya tizimi resurslariga pul sarflashingiz kerak bo'ladi. Kichik kompaniya odatda cheklangan bepul hisoblash resurslariga ega. Fortinet misolida, faqat xavfsizlik devorini sotib olish kifoya.
Kichkina shoxlari ko'p bo'lganlar uchun. Ko'pgina sotuvchilar uchun har bir filial uchun minimal yechim narxi ancha yuqori va oxirgi mijozning biznesi nuqtai nazaridan qiziq bo'lmasligi mumkin. Fortinet kichik qurilmalarni juda jozibador narxlarda taklif etadi.
Hali uzoqqa qadam tashlashga tayyor bo'lmaganlar uchun. SD-WAN-ni kontrollerlar, xususiy marshrutlash va tarmoqni rejalashtirish va boshqarishga yangi yondashuv bilan tatbiq etish ba'zi mijozlar uchun juda katta qadam bo'lishi mumkin. Ha, bunday amalga oshirish oxir-oqibat aloqa kanallaridan foydalanishni va ma'murlar ishini optimallashtirishga yordam beradi, lekin avval siz ko'p yangi narsalarni o'rganishingiz kerak bo'ladi. Paradigmani o'zgartirishga hali tayyor bo'lmagan, ammo aloqa kanallaridan ko'proq siqib chiqmoqchi bo'lganlar uchun Fortinet-dan yechim to'g'ri.
Manba: www.habr.com