SD-WAN Fortinet — управление и защита для распределенных сетей: особенности, плюсы и минусы, обзор

Блог Инфратех

fortigate
Бесплатный вебинар все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Узнать больше

SD-WAN Fortinet — управление и защита для распределенных сетей: особенности, плюсы и минусы, обзор

Автор: Марина Сухова

Рассказываем об архитектуре SD-WAN, средстве защиты Fortinet Secure SD-WAN на основе NGFW и его пользе для компаний с большим числом филиалов и подразделений. 

Untitled%20design%20(17)
Бесплатный вебинар все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Узнать больше

В начале 2000-ых годов передача по диал-ап была медленная и ненадежная. Единых сетей в компаниях не существовало или они были неструктурированными и небезопасными.

Со временем диал-апа перестало хватать, и филиалы объединяли с помощью распределенных сетей WAN, по технологии MPLS (multiprotocol label switching). Пакеты данных в такой сети передаются в конкретный узел на основе присвоенных им меток по защищенным соединениям.

Трафик вырос, в сети компаний подключается все больше мобильных устройств, а пользователи хотят мгновенного доступа к облачным сервисам. Сети WAN не справились с нагрузкой и на смену им в 2010-ых пришла новая технология, которая сокращает расходы и предоставляет качественное соединение.

SD-WAN (software-defined wide area network) — это программно-определяемая глобальная сеть, в которой умные алгоритмы решают, как оптимально распределить трафик и использовать каналы передачи на полную в зависимости от их пропускной способности и надежности соединения.

sd wan architecture

SD-WAN подходит для сетей со сложной конфигурацией, несколькими каналами передачи данных и множеством филиалов в разных городах

SD-WAN выросла из WAN благодаря виртуализации: все физические каналы передачи данных программно объединяются в один логический, даже если узлы сети находятся далеко друг от друга и от центрального офиса.

5 вызовов удаленного доступа

  1. Сложность администрирования
  2. Низкая скорость запуска новых филиалов
  3. Низкая надежность сети
  4. Узкий канал MPLS
  5. Дорогие каналы связи

1. Сложность администрирования

До этапа распределенных сетей, филиалы работали изолированно или с минимальной связью с центральным офисом. Администраторы управляли только локальной сетью, например, связывали компьютеры в бухгалтерии и отделе продаж на разных этажах здания.

Затем филиалы подключили с помощью WAN. На каждый узел сети даже в одном городе требовался сетевой администратор, а иногда и целая команда. Штат увеличивался, из-за этого росли расходы на обслуживание сети.

Новый узел настраивали и подключали вручную: опытные специалисты из Москвы или Казани ездили в командировки, чтобы изменить конфигурацию оборудования. Обновление сети занимало месяцы.

Сеть SD-WAN управляется из центра обработки данных (ЦОД) без доступа к физическому оборудованию, настройки применяются мгновенно. Специалист в филиале не нужен: достаточно, чтобы устройство было подключено к интернету.

2. Низкая скорость запуска новых филиалов

В новом филиале администраторы и инженеры не только настраивали оборудование, но и обучали персонал. На это уходило 2–3 недели. Дополнительно деньги тратились на дорогу, проживание и питание командированных.

Одновременный запуск второго филиала требовал еще одной группы специалистов или откладывался.

В сети SD-WAN устройство в филиале подключается к интернету, а администратор расшаривает стандартные настройки за 2 клика из центрального офиса.

Скорость и удобство развертывания важны, например, в ритейле, где сети состоят из тысяч узлов по всей стране с собственной инфраструктурой в каждом. Магазины в небольших селах в сибирской тайге или на крайнем севере можно подключать через спутник, а для магазинов в крупных городах использовать дешевый городской интернет.

3. Низкая надежность сети

При перегрузке или разрыве соединения в WAN администратор ищет проблему вручную. На это уходит от нескольких часов до нескольких дней, а без связи с филиалом компания теряет прибыль: рабочий день простоя отдела из 30 человек в Москве стоит около 150 тысяч рублей.

Администратор сети SD-WAN контролирует все параметры из центрального офиса. Значительная часть работы автоматизирована: программное обеспечение самостоятельно отслеживает нагрузку и выявляет потенциальные неполадки или проблемы с подключением у пользователей.

4. Узкий канал MPLS

Скорость в сетях MPLS варьируется от 2 Мбит/с до 10 Гбит/с, а в среднем по России на 2020 год составляет 25 Мбит/с по данным Worldwide Broadband Speed League. При этом запрос направляется сначала в центр обработки данных, затем в облако. Ответные данные тоже проходят через ЦОД и после этого попадают к пользователю. Средняя задержка на каждом этапе 10–50 мс, а для удаленных филиалов на каждые 200 км линии задержка увеличивается на 1 мс. В итоге даже при достаточно высокой скорости соединения время загрузки контента растет.

Но клиенты хотят получать доступ к данным мгновенно: уже через 4 секунды ожидания загрузки половина пользователей уходит с веб-ресурса, а через 8 секунд их остается всего четверть. Для сотрудников компании важен быстрый доступ к сервисам работы, например, CRM-системам или облачным почтовым сервисам, как Office 365.

wan vs sd-wan

WAN использует всегда один и тот же канал между роутерами, независимо от загрузки и состояния сети. SD-WAN программно направляет трафик по наиболее подходящему каналу.

SD-WAN подключается к облаку или удаленному ресурсу напрямую, без загрузки данных в ЦОД по беспроводным каналам связи. Например, LTE обеспечивает скорость соединения до 3 Гбит/с, а 5G — до 10 Гбит/с с задержкой менее 5 мс.

Дополнительно на скорость влияет динамическое перераспределение трафика. SD-WAN направляет менее требовательный к задержкам трафик, например, e-mail, через соединение с меньшей пропускной способностью, а для голосовых и видеоданных использует широкий канал.

5. Дорогие каналы связи

Стоимость канала MPLS растет с числом сотрудников. Канал для 20 пользователей, каждому из которых нужна скорость соединения 1–2 Мбит/с, стоит 5 000 ₽ в месяц. Этой скорости мало для передачи крупных файлов — 1 Гб качается целый час, а для совещания в Zoom нужно хотя бы 5 Мбит/с.

Крупная компания платит за такой же канал для 500 сотрудников примерно 130 000 ₽ ежемесячно. А для критически важных сервисов необходимо арендовать резервный канал, который большую часть времени будет простаивать.

Стоимость SD-WAN ниже: 5 000 ₽ в месяц стоит интернет-соединение со скоростью 100 МБит/с.

Fortinet Secure SD-WAN

Технология SD-WAN появилась всего десять лет назад, но на 2018 год рынок SD-WAN оценивался в $1,37 млрд по данным International Data Corporation (IDC). Собственные продукты для программно-определяемых распределенных сетей есть у крупнейших поставщиков сетевого оборудования: Cisco, VMware, Silver Peak, Riverbed. В том числе решение SD-WAN предлагает и компания Fortinet.

worldwide sd-wan infrastructure

В 2018 году почти половину рынка SD-WAN представляла Cisco (вместе с купленной в 2012 году компанией Meraki и поглощенной в 2017 году Viptela). Следующие по доле в процентном соотношении — VMware и Silver Peak.

Решение SD-WAN от компании Fortinet отмечено сертификатом качества от независимой лаборатории NSS Labs. В магическом квадранте Гартнера по рынку периферийной инфраструктуры за 2020 год Fortinet отнесен к «лидерам». Его выбрали для построения сети SD-WAN в 21 000 компаний по всему миру. Подробнее о наградах и разработках компании Fortinet читайте в нашей статье.

magic quadrant for WAN Edge Infrastructure

Компания Fortinet в 2020 году находится в верхнем правом квадранте Гартнера по рынку SD-WAN. К нему относят компании, которые показывают отличные финансовые результаты и наращивает технологический уровень.

Центром защиты SD-WAN выступает межсетевой экран нового поколения FortiGate. Подробнее о FortiGate в этой статье.

FortiGate защищает сеть с помощью антивируса, веб-фаервола, антиспама, системы обнаружения вторжений и других сервисов безопасности NGFW-устройств. FortiManager подключается к FortiGate и сети и контролирует качество связи.

Secure SD-WAN объединяет MPLS, широкополосное соединение, IPsec, LTE и 5G в единый виртуальный туннель и подбирает для каждого приложения подходящий канал. Алгоритмы Secure SD-WAN в реальном времени отслеживают потенциальные проблемы с пропускной способностью и незаметно для пользователей переключают трафик с одного канала на другой при необходимости.

Secure SD-WAN поддерживает технологию Zero-Touch Provisioning — настройку нового узла сети без физического доступа к оборудованию в филиале. Администратору прописывает конфигурацию вручную, так как контроллер отправляет ее на новую точку в удаленном режиме. Работники филиала только подключают кабель интернета к оборудованию (если используется физическая версия), а все настройки доступны администратору через FortiManager.

Стоит ли мигрировать с MPLS на SD-WAN?

Если у компании есть деньги на расширение канала MPLS, а безопасность инфраструктуры устраивает — переход на SD-WAN не принесет преимуществ. Новую технологию стоит рассмотреть при оптимизации затрат и обновлении парка сетевых устройств.

SD-WAN подойдет компаниям, которые:

  1. работают с более чем 30-40 филиалами;
  2. хотят сократить расходы на обслуживание сети;
  3. быстро расширяют сеть филиалов;
  4. используют облачные сервисы;
  5. запускают веб-сервисы, которыми пользуются одновременно сотни тысяч человек;
  6. планируют обновление устаревшего оборудования; создают новую сеть.

Для перехода необходимо выполнить два обязательных пункта: обновить оборудование и обучить персонал.

При наличии FortiGate весь функционал для настройки сети SD-WAN доступен сразу без покупки дополнительных лицензий и расчета количества каналов и пользователей. Топологию сети можно не менять, все каналы используются в оптимальном режиме.

При замене старого оборудования на FortiGate компания получает передовую безопасность и технологии по меньшей цене. Например антивирусные сигнатуры обновляются раз в 15 минут, а цена FortiGate на рынке в 1,5–2 раза ниже конкурентов Cisco и Palo Alto.

Secure SD-WAN ROI Calculator

Калькулятор срока окупаемости инвестиций в SD-WAN на сайте Fortinet

Вместо заключения

Главное преимущество архитектуры SD-WAN и решения Secure SD-WAN от Fortinet — это существенное сокращение времени и бюджета на конфигурацию сети, настройку и обслуживание оборудования, поиск и устранение проблем.

SD-WAN наиболее выгоден банкам, страховым и транспортным компаниям, ритейлу, промышленным и добывающим предприятиям, сетям терминалов и заправочных станций.

По данным аналитических групп, рынок SD-WAN в мире будет расти на 30–60% ежегодно до 2026 года. В России технологию уже начали внедрять крупные телекоммуникационные корпорации, например, МТС запустил собственную инфраструктуру SD-WAN для клиентов.

Использование SD-WAN в ближайшие годы станет одним из конкурентных преимуществ: быстрый и надежный доступ к сервисам поможет в борьбе за лояльность клиентов, а масштабируемая сеть, которая управляется из одной точки, ускорит развитие бизнеса.

fortigate
Бесплатный вебинар все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Узнать больше

Topics:   Обзор