Vi är på väg att starta POC med några leverantörer. Hur ser viptela C-edge ut? Jag har hört mycket blandade saker. V-edge ska vara stabil, men de utvecklar det inte längre.
Vi använder Fortigate SD-WAN. Fungerar bra när du väl har listat ut det och fått bort vissa designkomplexiteter, men ärligt talat kommer du att ha dem med vilken lösning som helst. Det tar rätt mycket arbete att få det att fungera som ett plug-and-play-system (det är fortfarande dit vi är men vi är nära).
Men ja, du kan styra trafiken till internet från filialen eller skicka trafiken över SDWAN IPsec-tunnlar tillbaka till ett datacenter. Kombinera detta med FortiManager så har du en central hanteringslösning (det tar också lite att vänja sig vid, men när det är igång är det ganska enkelt att hantera hundratals brandväggar).
Fortinets SDWAN-lösning har haft vissa problem men det är under aktiv utveckling och företaget har tydligt investerat mycket i att få det rätt. Jag tycker personligen att att ha brandväggen och SDWAN-enheten i samma box vid filialerna är vägen att gå. Vi sätter in FGT-60E i nya filialer hela tiden, det är en perfekt enhet för 200 Mbps eller mindre UTM-inspektion, och den kan enkelt klara 1-2 Gbps icke-UTM IPsec genomströmning. Jag känner att hårdvaran är en av säljpresentationerna, den är ganska stadig.
Meraki är en av de sämsta brandväggslösningarna du kan köpa. Jag skulle göra vad jag kan för att undvika den, Fortinet eller annat.
delad tunnel
Tunnelfunktioner
Det finns två tunnel-lägen tillgängliga för MX-Z-enheter konfigurerade som Spoke:
- Split tunneling (ingen standardrutt): Skicka bara platstrafik, vilket innebär att trafik som är avsedd för ett subnät vid en fjärrplats, skickas över VPN. Men om trafiken är avsedd för ett nätverk som inte finns i VPN-nätet (t.ex. trafik till en offentlig webbtjänst som www.google.com), skickas inte trafiken över VPN. Istället dirigeras denna trafik med en annan tillgänglig rutt, oftast direkt till internet från den lokala MX-enheten. Split tunneling tillåter konfiguration av flera nav.
- Heltunnel (standardrutt): Den konfigurerade Utgångsnoden annonserar en standardrutt över Auto VPN till spetsen MX. Trafik som är avsedd för subnät som inte är tillgängliga via andra rutter skickas över VPN till Utgångsnoden. Utgångsnoderna’ standardrutter prioriteras i fallande ordning.