在本课中,你将了解FortiManager如何帮助部署和维护SD-WAN网络。
在这节课中,你将学习上图显示的主题。
通过了解如何使用FortiManager部署SD-WAN,你应该能够利用FortiManager集中功能,在大型网络上部署和维护SD-WAN时降低运营成本。
FortiManager是在大型网络上部署SD-WAN的关键组件。通过FortiManager的集中式(单窗格)管理可以帮助你更轻松地管理跨许多设备的SD-WAN部署,并降低运营成本。
FortiManager如何帮助你进行SD-WAN部署?
● 在具有相同配置要求的多个设备上提供SD-WAN模板、CLI模板和防火墙策略。
● 使你能够根据每个设备配置SD-WAN。
● 监控SD-WAN状态。
● 充当配置修订控制和安全审计的中央存储库。
● 为新的SD-WAN站点执行零接触配置。
● 使用脚本和JSON API来自动化设备配置,并为SD-WAN执行策略更改。
为了组织和高效管理大型网络,FortiManager有多个管理层。
全局ADOM层有两个关键部分:全局对象数据库以及页眉和页脚策略包。页眉和页脚策略包包裹着每个ADOM的策略。策略包通常用于运营商环境,运营商允许客户流量通过其网络,但不允许客户访问其网络基础设施。
ADOM层是在托管设备或设备组上创建、管理和安装策略包的地方。你可以在这里创建多个策略包。ADOM层包括每个ADOM的一个通用对象数据库。通用对象数据库包含地址、服务和安全配置文件等信息。ADOM使你能够创建设备分组,供管理员监控和管理。ADOM的目的是通过ADOM划分设备的管理,并控制(限制)管理员访问。
设备管理层记录由FortiManager设备集中管理的设备的信息,例如设备名称、设备类型、型号、IP地址、安装的当前固件、修订历史记录和实时状态。
设备管理器窗格提供设备和安装向导,以帮助你完成各种管理和维护任务。使用这些向导可以减少执行许多常见任务所需的时间。
设备管理器窗格上有四个主要向导:
● 使用添加设备将设备添加到中央管理并导入其配置。
● 使用安装向导将配置更改从设备管理窗格或策略与对象窗格安装到托管设备。它允许你预览更改,如果管理员不同意更改,则取消和修改更改。
● 使用导入配置将接口映射、策略数据库和与托管设备关联的对象导入到策略包中,即策略与对象页面。默认情况下,它与添加设备向导一起运行,你可以随时从托管设备列表中运行它。
● 使用重新安装策略执行策略包的快速安装。它提供了预览将要安装在托管设备上的更改的能力。
你可以通过在设备管理器中右键单击托管设备来打开导入配置和重新安装策略向导。
FortiManager提供了两种配置SD-WAN的方法:每台设备管理和集中管理。
在每台设备管理中,你可以为单个设备配置SD-WAN设置。你在托管设备的SD-WAN页面上进行配置更改,然后安装它们。当你的设备具有不同的SD-WAN配置要求时,每台设备管理方法非常有用,因此,你必须为每台设备保持单独的设置。
在集中管理中,你可以配置SD-WAN模板并将其分配给一个或多个FortiGate设备。对于每个SD-WAN模板,你可以定义SD-WAN成员、区域、性能SLA、规则等等。这种方法对于部署使用类似配置的多个设备非常方便,因为它减少了管理开销。也就是说,不是在每个被管理设备上应用更改,而是在共享模板上应用更改。然后,在安装模板变更时,FortiManager会将变更推送到该模板的所有目标设备。
上图的屏幕截图显示了FortiManager页面,你可以在其中应用每台设备和集中SD-WAN设置。当两个页面都在设备管理器窗格中时,你必须单击托管设备才能访问每台设备的SD-WAN设置。你可以在设备管理器窗格的配置模板部分下找到SD-WAN集中设置。
SD-WAN叠加模板以引导方式结合了SD-WAN、IPsec叠加和ADVPN模板的配置。在本课中,你将了解有关SD-WAN叠加模板的更多信息。
无论你是使用每台设备管理还是集中管理来配置SD-WAN,这两种方法的FortiManager页面看起来几乎相同。一个区别是,每台设备设置页面显示创建VPN按钮,这使你能够快速创建IPsec隧道,该隧道稍后可以添加为SD-WAN成员。
另一个区别是,当你使用SD-WAN模板(集中管理)配置SD-WAN成员时,你可以在接口成员、网关和健康检查服务器设置中使用元变量。元变量使你能够定义每个设备可以分配不同值的变量。使用FortiManager 7.2.0引入元变量,并替换元字段。在本课中,你将了解有关元变量的更多信息。
使用FortiManager配置SD-WAN设置的方式与你在FortiGate GUI上配置它们的方式非常相似。上图显示了使用每台设备管理进行配置的示例。与FortiGate一样,GUI上有三个部分:接口成员、性能SLA和SDWAN规则,它们与FortiGate GUI上的用途相同。
元数据变量是ADOM级别的参数,也可用于FortiManager 7.2.0版本引入的全局ADOM用于每ADOM映射。你可以在CLl脚本、模板或型号设备中使用元数据变量。每当参数在每台设备上具有不同的值时,它们都会提供所需的灵活性。
你可以访问策略与对象>高级下的元数据变量菜单以查看和编辑元数据变量。
元数据变量名称只能包含字母、数字和下划线。
从7.0或更早版本升级时,FortiManager会在ADOM级别为ADOM中使用的元字段创建元数据变量。
如果元字段包含元数据变量名中不支持的字符,则该名称将被修改,并且每个不支持的字符将被下划线“_”替换。
系统级元字段保留在升级时以供参考。它们在系统设置>高级>元数据字段下仍然可见。
FortiManager元数据变量是用户定义的变量,使你能够为给定设备的设置分配不同的值。当你使用SDWAN模板配置SD-WAN成员时,它们特别有用。
你可以将元数据用于接口成员设置。这允许你在不同的设备上使用不同的接口,而无需创建单独的模板。
元数据的另一个用例是SD-WAN成员的网关设置。即使你对分配给模板的设备使用相同的接口名称,它们的网关也可能有所不同。因此,你可以为网关设置定义元数据变量,该变量指示在每台设备上为成员推送的网关IP地址。
上图的示例显示了使用两个元数据变量进行SD-WAN成员配置。Sdwan_port1_gw元数据变量用于为每个托管设备上的端口1定义不同的网关。也就是说,brach1_fgt和brach2_fgt上的端口1的网关将分别为192.2.0.2和203.0.113.2。对于底层区域的成员ID 5,inet3_port元数据变量用于指示每个托管设备上用作成员的接口名称。也就是说,brach1_fgt将使用port3作为成员,brach2_fgt将使用port8。
在性能SLA部分中,Level3_DNS条目的运行状况检查服务器定义为一个静态服务器IP,每个设备具有相同的IP,以及一个元数据变量,以根据设备位置调整运行状况检查服务器IP。
要在SD-WAN成员配置中引用元数据变量,请在字符串的开头键入s,以便FortiManager显示可用的元数据变量列表。在此弹出式菜单上,如果需要,“+”符号允许用户创建新的元数据变量。
带有$符号的放大镜表示你可以使用元数据变量的字段。
在上图显示的示例中,用户可以像往常一样输入IP地址和网络掩码,或输入$以显示元数据变量菜单,并为子网选择一个元数据变量,为子网掩码选择一个元数据变量。
注意,必须单独指定子网掩码。
有效选项有:
● $(LAN_Subnet)/$(Lan_Mask)
● $(LAN_Subnet)/255.255.255.0
在字段中输入$符号后,弹出菜单允许你选择已定义的变量。你可以点击+号创建一个新变量,或者当你将鼠标悬停在一个变量上时,使用钢笔符号来编辑一个现有的元变量。
要在ADOM级别查看和编辑所有元数据变量,请转到策略与对象>对象配置>高级>元数据变量。
如果你单击+号来创建新的元数据变量,FortiManager会显示一个窗口,你可以在其中创建新变量及其每个设备映射。然后,你可以定义变量名及其值。
请注意,对于某些字段,你不能使用没有默认值的元数据变量。因此,最好为你创建的每个元数据变量设置默认值。在你未指定每个设备映射的FortiGate上安装配置时,FortiManager使用默认值。需要默认值的字段的一个例子是防火墙地址对象的IP/Netmask。
对于SD-WAN集中管理,你可以在FortiManager中将设备的SD-WAN设置导入SD-WAN模板。然后,你可以使用模板在其他需要相同配置的FortiGate设备上部署SD-WAN。
配置新模板或从托管设备导入其设置后,你可以将模板分配给一个或多个设备或设备组。
除了配置SD-WAN模板外,你可能还需要配置系统模板和一个或多个CLI模板。系统模板使你能够为托管设备创建和管理通用的系统级设置。系统模板页面包含一个名为默认的通用配置文件,其中包含DNS、警报电子邮件、管理员设置、日志设置等设置的小部件。
你可以创建一个新的设备配置文件,并在该配置文件的小部件中配置设置。你可以使用更多图标和导入从特定托管设备导入设置,该设备继承了该托管设备的系统级设置。
你可以使用分配给设备/组选项卡将设备与配置文件关联,或查看已分配给配置文件的设备列表。
你可以将这些配置的配置文件应用于同一ADOM中的多个设备,这有助于在许多设备上进行相同的设备级设置。
CLI模板使你能够创建CLI脚本或一组可以分配给托管设备的CLI脚本。然后,FortiManager在将配置推送到托管设备时强制执行脚本的内容。
CLI模板对于推送高级CLI设置或引用元数据变量的设置非常有用。例如,你可以使用CLI模板推送此上图显示的SD-WAN设置,该设置指示FortiManager为SD-WAN成员使用的运行状况检查探针配置源地址。你可以引用元数据变量(示例中的sdwan_vpn_hc_srcip),而不是直接指示源地址。由于元数据变量是用每个设备映射值定义的,因此FortiManager可以根据目标设备推送不同的源地址。
在FortiManager上,你可以创建两种类型的脚本:CLI脚本和Jinja脚本。对于CLI脚本,你将使用FortiGate CLI命令和$符号来引用元数据变量。这种类型的脚本非常易于使用,但不提供高级编程功能。使用Jinja脚本,你可以使用类似Python的语法来配置高级场景。请注意,对于Jinja脚本,你必须使用双括号符号引用元数据变量。
你可以使用模板组将多个CLI脚本分配给托管设备。模板组可以包含CLI和Jinja脚本的混合,并以自上而下的顺序应用。
当你为SD-WAN配置防火墙策略时,你必须首先创建一个策略包。然后,策略包包含分配给一个或多个托管设备的一个或多个防火墙策略。SD-WAN流量的防火墙策略必须引用SD-WAN区域,而不是单个成员。在防火墙策略中配置的另一个接口通常是标准化接口,你必须为其配置正确的映射规则。
标准化接口使你能够在每个设备或每个平台的基础上引用不同的接口。目标是能够在具有不同接口配置的多个设备之间共享对象,例如防火墙策略。当FortiManager安装引用标准化接口的对象时,它会读取配置的映射规则,然后将映射接口分配给每个目标设备的推送配置。
在上图显示的示例中,branches-pp策略包包含一个名为DIA的防火墙策略。LAN标准化接口配置为策略上的传入接口。LAN被映射到branch1_fgt和branch2_fgt设备上的端口5,但如果需要,它可以映射到不同的接口。
在FortiGate上安装SD-WAN设置和相关配置后,你可以使用FortiManager上的SD-WAN监视器页面查看FortiGate设备及其SD-WAN成员的状态。请注意,默认情况下,你必须手动刷新页面,以从设备中轮询最新状态。或者,你可以选择自动刷新间隔。
地图视图选项显示设备在地图上的位置。位置基于FortiManager中为设备配置的位置设置。
将鼠标悬停在成员上以查看其健康和使用详细信息。请注意,成员利用率百分比是根据为estimated-upstream-bandwidth和estimated-downstream-bandwidth接口设置配置的值计算的。你将在另一节课中了解有关这些设置的更多信息。
最后,你可以单击设备查看报告成员利用率和健康状况的历史图表。
当你单击SD-WAN监视器页面中的设备时,FortiManager会显示历史图表,报告该设备上SD-WAN成员的利用率和健康状况。上图显示了FortiManager显示的利用率和健康图的示例。
用户可以选择要显示的时间范围。
请注意,默认情况下,FortiManager仅显示过去10分钟的数据。要长时间收集和显示数据,你需要使用以下CLI命令在FortiManager磁盘上启用数据存储:
config system admin setting
set sdwan-monitor-history enable
end
激活该功能后,FortiManager将每个托管SD-WAN设备的数据存储在其磁盘上长达180天。为了避免过度使用磁盘,你可以使用以下CLI命令将数据保存减少到几天:
config system admin setting
set rtm-max-monitor-by-days <nb of days>
end
通过了解FortiManager上可用的IPsec配置模板,你将能够在FortiGate上轻松配置IPsec VPN隧道。然后,你将看到如何在SD-WAN中使用已配置的IPsec隧道作为叠加。
在FortiManager上,你可以使用IPsec模板在多个设备上轻松配置一致的IPsec设置。
准备模板的方法多种多样:
● 创建一个新模板,并手动定义所有必要的IPsec参数(新建)。
● 使用已定义的IPsec隧道(导入)从托管的FortiGate导入设置。
● 使用Fortinet推荐模板(激活)。
推荐模板将允许你使用Fortinet推荐的第1阶段和第2阶段参数设置为IPsec隧道准备模板。
● IPsec_Fortinet_Recommended模板定义了静态点对点隧道的模板
● BRANCH_IPsec_Recommended模板定义了静态隧道的模板(具有已知的远程IP地址)
● HUB_IPsec_Recommended模板定义了动态隧道的模板(拨号隧道的IPsec中心)
上图显示了你必须提供数量有限的参数的示例,以便使用Branch_IPsec推荐模板准备分支隧道配置。然后,使用这些参数,FortiManager准备一个模板,IPsec配置准备安装在设备上。你仍然可以查看模板,并在必要时进行调整。正如你已经发现的SD-WAN或CLI模板一样,元数据对于使用特定于每个设备的值自定义模板非常有用。
请注意,如果你已经熟悉FortiManager,并且已经将VPN管理器用于部署,你可以继续使用它。但是,对于新的部署,你应该使用IPsec推荐的模板。
Hub IPsec推荐模板为动态IPsec VPN隧道准备一个模板,其中包含管理员指定的远程隧道的传出接口、预共享密钥和IP地址范围。
隧道名称、网络ID和加密提案会自动设置为值VPN1、ID1、andaes256-sha256。
当然,如果需要,你可以编辑和调整模板。
请注意,在创建模板时,Keep Alive被禁用。你可以编辑Keep Alive来启用它。
Branch IPsec推荐模板为静态IPsec VPN隧道准备一个模板。你必须为隧道的远程端指定IP地址。该模板使用管理员指定的传出接口、预共享密钥和本地分支ID。每个分支站点的本地ID必须是唯一的。因此,将其定义为元数据变量很方便。
隧道名称、网络ID和加密提案会自动设置为HUB1-VPN1、ID1和aes256-sha256。如果需要,你可以编辑和调整模板中的这些值和任何其他参数。
请注意,在创建模板时,例如对于集线器,Keep Alive被禁用。你可以编辑模板以启用Keep Alive。
标准化接口使你能够在每个设备或每个平台的基础上引用不同的接口,从而简化了多个设备的配置和部署过程。通常,FortiManager要求你规范化接口。但是,如果你计划将IPsec接口配置为SD-WAN成员,则不需要。这是因为SD-WAN成员不使用标准化接口。另一个原因是SD-WAN的防火墙策略必须引用SD-WAN区域,而不是单个成员。
如果你不打算将IPsec接口用作SD-WAN成员,那么你必须规范化接口,以便可以在防火墙策略上引用它,这是隧道出现所必需的。在规范化IPsec接口时,请记住以下几点:
● 如果你计划使用每个平台的映射,则无需先安装VPN配置。这是因为FortiManager要求你键入接口的名称。你必须键入正确的接口名称;它必须对应于你已经定义的规范化接口。
● 如果你计划使用每个设备映射,那么你必须先安装VPN配置。这是因为在每个设备映射中,FortiManager在设备设置数据库中查找现有接口,这些接口仅在执行安装后创建。
配置标准化的IPsec接口后,你可以参考防火墙策略上的接口。
你可以监控隧道状态,并从VPN监视器页面强制它们上线或下线,如上图所示。
请注意,地图视图仅适用于使用VPN管理器配置的隧道。你必须选择显示表来监控使用隧道模板配置的隧道。
配置IPsec隧道后,你可以开始将它们用作SD-WAN成员。只需确保删除防火墙策略上对单个成员的任何现有引用。否则,FortiManager无法安装SD-WAN配置,因为你无法在防火墙策略上引用单个SD-WAN成员。你只能参考SD-WAN区域。
请注意,SD-WAN成员不使用规范化接口。相反,你必须在设备上键入接口的名称或使用元数据变量。
在上图显示的示例中,T_INET_0是设备上IPsec接口的名称。该接口被配置为SD-WAN成员,并放置在覆盖区域。
通过展示FortiManager SD-WAN覆盖模板的能力,你将能够以更少的精力配置和部署大型SD-WAN拓扑和相关叠加IPsec网络。
大多数SD-WAN部署需要复杂的数据中心或云连接覆盖配置。FortiManager包括一个带有向导的SD-WAN叠加模板,用于使用Fortinet推荐的IPsec和BGP设置来自动化和简化流程。SD-WAN叠加模板向导指导你完成配置步骤,并为中心和分支设备的SD-WAN、叠加和路由配置生成一组一致的配置模板。
请注意,你不能为同一网络使用VPN管理器和SD-WAN叠加模板。在适用的情况下,对于新的部署,你应该使用SD-WAN叠加模板。它提供了一个全面的方法,并指导你完成IPsec、BGP和SD-WAN配置。
做以下操作来使用SD-WAN叠加模板:
1. 定义要使用的网络拓扑和子网。
2. 使用管理员设置、接口IP/子网等预配置你的网络和SD-WAN设备。
3. 将设备导入FortiManager。
4. 让SD-WAN叠加模板指导你完成配置向导。
5. 查看生成的配置模板。
6. 在设备上安装配置。
请注意,如果你稍后需要添加其他分支设备,你可以通过将设备添加到分支设备组来做到这一点。
在定义SD-WAN叠加模板之前,第一步是将中心设备导入FortiManager,你可以使用模型设备,并配置必要的链接和接口。
你可以在此初始阶段或稍后阶段导入分支设备,但在进一步使用SD-WAN叠加模板之前,你必须创建一个包含分支设备的设备组。
网络规划是一个重要的阶段。
在使用SD-WAN叠加模板之前,必须定义以下元素:
● 拓扑类型
● 叠加网络地址空间
● 环回IP地址空间
● SD-WAN叠加区域的BGP AS编号
请注意,要使用SD-WAN叠加模板,你的配置必须包含单个叠加网络。
SD-WAN叠加模板可帮助你为单中心和双中心拓扑配置模板。双中心拓扑为主要和次要中心或两个同时活跃的中心(称为主要和主要中心)提供选项。
在接下来的几张幻灯片中,你将探索如何使用向导创建模板来为图表上显示的拓扑配置设备。
我们将使用以下参数:
● 双中心(主要和次要)
● 每台设备有两个底层链路
● iBGP路由
● ADVPN
首先,你定义所使用的拓扑类型,单中心或双中心以及冗余类型。
在高级部分中,应用网络元素的设置:
● 环回IP地址
● 叠加网络
● BGP-AS数字
● 自动发现VPN
SD-Wan叠加模板指导你完成多个向导。FortiManager根据你在第一步中选择的选项调整每个向导上可用的字段。
在步骤2中,定义设备角色。
对于中心设备(双中心拓扑的两个),你必须从FortiManager上已经发现的设备中进行选择。
对于分支设备,在此阶段,你必须定义一个分支设备组。当你处理模板时,此组可能是空的。在本课的后面,你将学习如何从CSV文件执行批量设备导入。稍后,随着网络的发展和新站点加入SD-WAN拓扑,你可以将设备添加到分支设备组中。
第3步包括中心和分支设备的网络配置。
在此阶段,你将定义用于底层链路的网络接口,通常是中心的静态定义和分支的元数据变量。
私有链路复选框表示一个安全的内部链路。FortiManager不会通过此接口定义叠加链路。
你还可以在此阶段添加额外的底层链接(+符号)。
对于网络广告,你可以在连接的子网广告或静态网络前缀定义之间进行选择。对于连接的子网广告,你必须选择与子网对应的接口进行广告。
分支路线图对应于中心应用于分支邻居组的路线图。
通常,要为分支设备定义WAN底层接口,你可以使用元数据变量。这允许你容纳各种类型的分支站点和分支设备。同样,你可以使用元数据变量进行连接的子网接口定义。
在高级部分中,你可以为每个中心叠加链路或为所有链路定义全局路由映射。你可以定义路由映射,路由映射和路由映射首选设置。
路线图和路线图最好允许有区别的路线图广告。如果SD-WAN成员满足SLA阈值,FortiGate将应用BGP邻居的route-map-out-preferable选项中定义的路线图。
如果SD-WAN成员不能满足SLA, FortiGate将使用BGP邻居的route-map-out选项中定义的路由。
这允许FortiGate通过根据SLA状态发布不同的社区字符串,向其BGP邻居宣传SD-WAN成员的健康状况。
你将在另一节课中更详细地探索路线图选项。
在步骤4中,你必须定义SD-WAN叠加模板过程使用的SD-WAN模板。该过程不会自动创建它。
你可以调用现有的SD-WAN模板,SD-WAN叠加模板过程会根据你选择的选项向其添加设置。通常,该过程至少会添加接口成员和区域。如果你没有预定义的SD-WAN模板,则必须创建一个。
如果你选择为每个中心添加运行状况检查服务器作为性能SLA,则该过程为每个中心环回IP创建一个性能SLA检查。这些SLA检查由默认值检测协议Ping、故障阈值5和恢复阈值5定义。创建后,你可以编辑SDWAN模板,以根据需要查看和调整值。
向导不会创建SD-WAN规则。你可以稍后添加它们,并随着需求的变化而完善它们。
最后一步,步骤5,是一个回顾阶段。
你可以查看所有设置,如果需要调整,请直接转到相应的菜单。一旦你对设置感到满意,请单击完成。
你会在下一张幻灯片上看到结果。
SD-WAN叠加模板生成多个模板,每个主题一个。
对于分支设备,它为定义的SD-WAN模板创建设置。
对于分支和集线器,它创建BGP、IPsec和CLI模板,以适应所有必要的配置更改。
模板按设备分组,设备分配为你完成。
在此阶段,你可以在将配置应用于设备之前,根据需要查看每个模板并微调设置。
完成SD-WAN叠加模板向导后,你必须完成一些额外的任务。
SD-WAN叠加模板会自动创建一个名为branch_id的元数据变量。你必须为每个分支设备定义唯一的分支ID值。如果你通过该过程创建了额外的元数据变量,你还应该为每个设备定义相应的值。通常,你将元数据变量用于设备名称、接口IP或网关。
你还将编辑SD-WAN模板以配置SD-WAN规则并定义SLA标准,为你的分支和中心设备创建策略包,然后使用安装向导安装对设备进行更改。
稍后,你可以返回SD-WAN叠加模板来编辑和修改设置,并添加新的分支设备。
SD-WAN叠加模板指导你在合并过程中创建SD-WAN、BGP和IPsec隧道模板。
如果你只需要某些任务的指导,你可以使用Fortinet推荐的模板。它们可用于IPsec和BGP。
要使用推荐的模板,请选择所需的模板并激活它。它创建一个个性化的副本,并使用向导指导你完成配置。
设备蓝图可以简化使用相同类型和类似配置的多个设备的新部署。它们允许你根据FortiGate设备型号预定义各种参数,例如固件版本、分配的模板或策略包。
请注意,如果你决定将设备分配给一个组,它们将继承与该设备组关联的所有模板。因此,为了避免配置指令冲突的风险,你应该分配配置模板或将设备添加到组中,以便从组模板中受益。你不应该在同一个蓝图上同时做这两件事。
你可以将设备蓝图与CSV文件导入结合使用,以简化将所有分支设备添加到FortiManager的任务。
对于新的SD-WAN部署,你必须在FortiManager中添加许多类似的FortiGate设备,这些设备用于分支站点。逐个添加设备将是重复和耗时的。
为了简化此步骤,FortiManager提供了一个CSV文件导入功能。你必须将文件构建为带有设备序列号、设备名称、相关蓝图以及虚拟机模型的接口数量的逗号分隔值(CSV)。
CSV文件必须使用列标题和相应的值列表构建。第一列必须是:sn、device_blueprint、name,对于虚拟机,vm_interface_number。其他可选列名必须与确切的元数据变量名匹配。
在文件导入时,FortiManager为每个预定义值设置元数据变量值,并忽略与已定义的元数据变量匹配的列。
请注意,从CSV文件模式添加模型设备和导入模型设备用于新的FortiGate部署,其中必须保留FortiGate设备上的预先存在的配置。在FortiManager授权FortiGate设备后,作为安装过程的一部分,与模型设备关联的配置会覆盖FortiGate设备的配置。
通过掌握本课所涵盖的目标,你了解了FortiManager中用于在大型网络中部署SD-WAN的最有用的功能。
239
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
