Deus ex machina: пробуем из коробки SD-WAN от Fortinet и управляем всей сетью разом / Комментарии / Хабр

Блог компании Инфосистемы Джет 23 сентября 2021

Deus ex machina: пробуем из коробки SD-WAN от Fortinet и управляем всей сетью разом

Как можно попасть на Камчатку и полюбоваться Тихим океаном, попробовать краба и посмотреть вулканы? Можно несколько месяцев планировать отпуск, подобрать удобный рейс, гостиницу под свой вкус, а можно и за два дня 一 если получить недовольный звонок клиента, у которого от сети отваливаются филиалы на Дальнем Востоке. Проблема плавающая, причина непонятная 一 поэтому, говорят, приезжайте, посмотрите нашу природу, попробуете местные деликатесы. Если останутся время и силы. Хотим оставить подобные истории на уровне баек из курилки, поэтому стали перебирать решения и пришли к идее, что пора осваивать программно-определяемые сети (SD-WAN). Для этого мы обратились к оборудованию, которое хорошо знаем по другим проектам: взяли сетевые экраны Fortinet c поддержкой SD-WAN и протестировали на них несколько популярных запросов от клиентов. Посмотрели, как можно разворачивать распределенную сеть и управлять ею через общий веб-интерфейс, и расписали результаты тестов и наше мнение о возможностях этого оборудования. Все подробности и сценарии, которые можно реализовать, — под катом.

Посмотреть Fortinet в действии

+22

Комментарии 10

ColdSUN 24 сен 2021 в 15:06

Как это SD-WAN не требует лицензий? Распределение приложений по каналам без подписки не работает. Дополнительной лицензии никакой докупать не надо, это так, но обычную лицензию на UTM всё же придётся купить и продлять её.

JetHabr 29 сен 2021 в 17:40

В целом Вы правы, но дьявол кроется в деталях.

Устройства Fortigate в базе несут на борту функционал Application Control. Его достаточно для «чистого» SD-WAN (т.е. для использования типа приложения в качестве критерия применения SD-WAN правил). Но для получения обновлений сигнатур приложений потребуется как минимум подписка FortiCare (обновление FortiOS, сервис ТП и пр.).

Если же требуется Secure SD-WAN, т.е. совмещение функций SD-WAN и безопасности профильного NGFW, в таком случае безусловно требуется полноценный бандл (UTP и выше): https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGuard_Security_Services.pdf https://www.fortinet.com/content/dam/fortinet/assets/brochures/Brochure-FortiGuard-Security-Services.pdf

Fortinet лицензионно не ограничивает ни полосу пропускания, ни количество подключений, ничего. Здесь все упирается только в производительность самого устройства Fortigate - cколько МСЭ через себя трафика сможет пропихнуть, столько и будет.

Подскажите, с какими девайсами Fortigate (с какой подпиской) и версией FortiOS Вы работали?

ColdSUN 29 сен 2021 в 18:17

FGT 100d/e/f, 200d/e/f, 500e, 1100e etc. 5.6.x, 6.0.x, 6.2.x, 6.4.x

Сейчас дома стоит FortiWifi 40f 3G4G прошивка 6.4.7 и два FortiAP 221e. С лицензией на UTM функции.

FortiCare для обновления сигнатур не достаточно. Нужна именно подписка на UTM. Что-то вроде 360 Protection или UTP. Можно Advanced Threat Protection, если не нужен Web Filter.

JetHabr 6 окт 2021 в 11:05

Добрый день! Мы на всякий случай связались с Fortinet и уточнили этот вопрос. С версии FortiOS 6.2 обновления Application Control входят в базовый FortiCare. По другим сервисам (кроме базового функционала) – да, для обновлений действительно требуется подписка. Но тут можем отметить, что если забыть продлить соответствующую подписку, то сервисы останутся в рабочем состоянии на момент окончания подписки. Они не откатятся к базовых настройкам, не превратят межсетевой экран в коробку с режимом "только для чтения".

ColdSUN 6 окт 2021 в 11:25

Вы абсолютно правы. Сейчас открыл список лицензий и что в них входит, и обнаружил, что в обычный FortiCare 24x7 входит Application Control. И да, в отличии от того же Cisco Meraki окончание подписки не превращает железку в тыкву.

redneko 28 сен 2021 в 17:15

Для передачи ТВ-потоков всё же лучше использовать более специализированные железки (от тех же AppearTV, Nevion, и иже с ними), поскольку если еще для MPEG2TS можно жить с увеличенным джиттером, то какой-нибудь SMPTE 2022-6 уже будет неработоспособен. И VLC тут тоже не показатель - он спокойно ест VBR поток не рассыпаясь, а Ericsson 8200 не хочет ни в какую (но это уже больше особая придирчивость ресивера играет роль). К тому же благодаря SRT можно с приемлемым качеством и задержкой гонять MPEG2TS через публичные сети. Хотя и у реализаций SRT нет-нет, да и находятся баги, проект до сих пор пилится активно.

JetHabr 1 окт 2021 в 18:33

Спасибо за комментарий! В статье мы попытались раскрыть, как выглядит работа с наиболее популярными запросами, которые мы получаем от заказчиков. К сожалению, работы с ТВ-потоками среди них не было. VLC мы использовали как лекгодоступный подручный инструмент проверки функционала и гипотез по работе с Fortigate. В будущих тестах попробуем добавить больше вариативности по используемому продуктивному трафику.

kazaros 30 сен 2021 в 11:49

Не повысилось ли задержки при включении FEC?

JetHabr 1 окт 2021 в 18:34

К сожалению, не замеряли этот показатель. По логике работы FEC задержка должна быть. Но мы не замеряли избыточность (она легко определяется по коэффициенту избыточности FEC, у нас 1:6) и задержки в явном виде. Попробуем при случае проверить.

sHaggY_caT 9 окт 2021 в 19:33

Как мы перестали бояться и полюбили программно-определяемые сети

пользуясь случаем, побояню:

Зарегистрируйтесь на Хабре, чтобы оставить комментарий