Що таке SD-WAN?

Суміжна мережа в одному місці називається “локальна мережа“(LAN) Деякі компанії працюють у кількох місцях та мають мережу в кожному місці. Ці окремі мережі можуть бути з’єднані між собою, щоб утворити одну мережу, яка може управляти централізовано. Це “мережа широкої площі,”Або WAN.

Зараз багато компаній використовують хмарні сервіси, які також можуть бути інтегровані в локальну мережу, утворюючи WAN. Отже, існує багато різних причин, щоб адміністратори мережі розглядали питання про створення WAN.

Немає великого вибору щодо того, як зв’язати WAN разом. З цими віддаленими мережами та ресурсами можна зв’язатися через Інтернет, і цей носій забезпечує найдешевший і найпростіший спосіб створити WAN.

Єдина проблема з Інтернетом – це це не перебуває під контролем мережевого адміністратора. Це знаходиться поза будівлею, а кабелі, які роблять його, належать іншим організаціям. Ця втрата контролю позбавляє багатьох підприємств від використання Інтернету для підключення разом розсіяних сайтів.

Переваги SD-WAN

Програмно-визначені широкі мережі вирішують проблему контролю на загальнодоступному носії. Шлюз, який з’єднує локальну мережу з Інтернетом, застосовує шифрування до трафіку, який проходить між сайтами, забезпечуючи їм захист конфіденційності.

Системи SD-WAN можуть маршрутизувати трафік, використовуючи конвенції Інтернет-протоколу, або скорочувати адреси через Мультипротокольна комутація міток (MPLS) система. Він також може пересилати трафік мережа LTE на мобільні пристрої.

Хоча технологію називають “програмно визначені”, Він також може бути реалізований за допомогою пристрою, який є апаратним рішенням.

SD-WAN проти підключення до Інтернету

Співробітники на окремих сайтах можуть легко спілкуватися один з одним через Інтернет, так чому турбуватися з SD-WAN? Основна відмінність системи, яка оперує низкою локальних мереж, підключених Інтернетом, і WAN, полягає в тому, що адресний простір WAN уніфікований.

Локальні мережі використовують приватні IP-адреси, які є дійсними лише в цій мережі, тому не має значення, що кінцева точка в іншій мережі де-небудь ще має таку ж IP-адресу. Це також стосується локальної мережі іншого сайту тієї ж компанії. Усі адреси WAN повинні бути унікальними. Отже, створення WAN наскрізь Технологія SD-WAN створює єдиний адресний простір на всіх сайтах.

WAN може мати одну центральну DHCP-сервер, один DNS-сервер, і один менеджер IP-адрес. Ще можна централізувати мережеву підтримку в одному місці, якщо кожен сайт компанії зберігає власну локальну мережу. Однак це означає, що один адміністратор мережі повинен відслідковувати кілька адресних просторів, і це може ускладнитися.

Програмне забезпечення SD-WAN накладає інтервенційні інтервенції для вирішення питань і просто представляє адміністратору приватної мережі один простір, навіть якщо ця мережа фізично розсіяна.

SD-WAN та VPN

Процедури роботи SD-WAN дуже схожі з процедурами віртуальних приватних мереж (VPN). Компанії вже деякий час використовують VPN. Їх застосування дозволяє віддаленим працівникам підключатися до мережі компанії та ставитися до них, ніби вони перебувають у одній будівлі. Посилання на віддаленого працівника здійснюється через Інтернет та захищене шифруванням.

Різниця між функціями VPN та SD-WAN полягає в тому VPN з’єднує єдину кінцеву точку з мережею, тоді як SD-WAN створює зв’язок між двома мережами, кожна з яких обслуговує безліч кінцевих точок. Програмне забезпечення SD-WAN також може надавати VPN-з’єднання окремим працівникам.

І VPN, і SD-WAN використовують метод, який називається “інкапсуляція.”Це включає розміщення цілого пакета всередині корисного вантажу іншого пакету. Зовнішній пакет має власний заголовок, який не стосується інформації про маршрутизацію, що міститься в заголовку вихідного, внутрішнього пакету. Зовнішній пакет існує лише досить довго, щоб отримати внутрішній пакет через Інтернет.

Основна мета інкапсуляції – дозволити зашифрувати весь оригінальний пакет і захистити його від снайперів. Це означає, що інформація про маршрутизацію міститься в заголовку пакету тимчасово надається нечитабельною, і тому марний як джерело інформації для маршрутизаторів через Інтернет. Це ефективно робить внутрішній пакет “невидимим” для всіх пристроїв в Інтернеті. Аналогією цього процесу є те, коли хтось у подорожі проходить через тунель частину шляху, і тому він буде тимчасово непомітний для тих, хто слідкує за цією людиною вертольотом. З цієї причини інкапсуляція відома як “тунелювання.”

Захист з’єднання SD-WAN

Найчастіше використовується метод захисту для SD-WAN трафіку під час проходження через Інтернет IPSec. Це ще одна схожість з технологією VPN, оскільки IPSec є одним із варіантів захисту, які часто використовуються для захисту VPN. Однак найпоширенішою системою безпеки, яка використовується для VPN, є OpenVPN.

IPSec – це відкритий стандарт, опублікований Інженерною робочою силою Інтернету (IETF), спочатку як RFC 1825, RFC 1826 та RFC 1827. Відкритий стандарт означає, що кожен може отримати доступ до визначення протоколу і реалізувати це без сплати гонорару. Не існує обмежень щодо комерційного використання стандарту.

IPSec – це “3 рівень”(Термінологія OSI) протокол. Це частина набір протоколів TCP / IP і знаходиться нижче транспортного шару. Цей протокольний рівень зазвичай реалізується маршрутизаторами – комутаторами є “Шар 2”Пристроїв. Будучи нижче транспортного шару, IPSec не в змозі встановити сеанс. Однак він може аутентифікувати віддалений маршрутизатор і обмінятися ключами шифрування. Ефективно ці процедури імітують роботу, виконану TCP встановити сесію.

Системи безпеки в IPSec терпіти через посилання, тому він охоплює всю подорож по Інтернету. Шифрування охоплює заголовки пакетів мережевого трафіку, повторно обробляючи всі пакети із зовнішнім заголовком, щоб перенести його через Інтернет до відповідного шлюзу на віддаленому сайті.

Інкапсуляція IPSec узгоджує різницю між приватною областю мережевих IP-адрес та унікальною вимогою публічного адресного простору в Інтернеті. Протокол IPSec визначає два різних розширення шифрування. Протокол може бути використаний у “транспортний режим.У цьому випадку шифрується лише тіло перенесеного пакету. Інший варіант –тунельний режим,”, Який зашифровує весь пакет, включаючи заголовок, і поміщає його всередину зовнішнього пакета з читаним заголовком. У SD-WAN IPSec є завжди використовується в тунельному режимі.

Метод шифрування, який можна розгорнути за допомогою IPSec, залишається на вибір розробника програмного забезпечення, що реалізує. Це може бути TripleDES-CBC, AES-CBC, AES-GCM або ChaCha20 з Poly 1305.

Реалізація SD-WAN

Як система 3 рівня, маршрутизатор повинен реалізовувати SD-WAN. Однак можна придбати програмне забезпечення для комп’ютера, який фіксує весь трафік до того, як він потрапить до маршрутизатора, керує завданнями SD-WAN і потім відправляє все це в Інтернет через маршрутизатор. Це віртуальний прилад рішення. Альтернативним методом є заміна маршрутизатора на прилад, у якому вбудоване програмне забезпечення SD-WAN.

Прилад або комбінація програмного маршрутизатора повинні мати можливість додатково перенаправляти трафік через SD-WAN або виходити через Інтернет до інших напрямків. Ця гнучкість називається “розділений тунель“Оскільки корпоративні дані, призначені для віддаленого сайту WAN, будуть проходити через тунель SD-WAN, а регулярний інтернет-трафік виходитиме в Інтернет без інкапсуляції.

Термінологія SD-WAN існує лише з 2014 року, хоча основна технологія існує довше. Однак методологія вже поглинається в хмарних обчисленнях. Хмарні обчислення вбудовують програмне забезпечення з підтримуючим обладнанням і називається “Програмне забезпечення як послуга“(SaaS). Програмне забезпечення SD-WAN може розміщуватися на віддаленому сервері, створюючи мережеве програмне забезпечення як послугу. Ця категорія послуг називається “Єдиний зв’язок як послуга,”Або UCaaS.

В архітектурі UCaaS компанії-клієнту не потрібно купувати якесь спеціальне програмне забезпечення або пристрій. Натомість підключення VPN від компанії до хмарного сервера каналізує весь трафік до послуги UCaaS. У цій точці застосовуються процеси SD-WAN і трафік передається на відповідний віддалений сайт, який також підключений до системи UCaaS через VPN.

Оскільки увесь трафік з усіх сайтів проходить через сервер UCaaS, рішення про те, чи слід направляти трафік через тунель на інший сайт або надсилати його через звичайний Інтернет, приймаються на хмарному сервері.

Стратегія маршрутизації всього трафіку через хмарний сервіс стає все більш поширеною і називається “крайовий сервіс.”Це новий метод, який використовують компанії з кібербезпеки для забезпечення захисту мережевого екрану мережами, і служба UCaaS може доповнити захист безпеки, в т.ч. моніторинг електронної пошти. Інші додатки, які може надати UCaaS, включають системи безперервності, резервного копіювання та архівування.

Хмарні SD-WAN на базі хмари є більш рентабельними, ніж рішення на місці, оскільки вони знімають попередні витрати на придбання необхідного обладнання та програмного забезпечення для створення WAN, і вони не потребують технічних працівників для їх обслуговування. Системи UCaaS зазвичай стягуються на основа підписки що коштує частку від ціни придбання апаратного та програмного забезпечення для роботи у власному приміщенні.

Віднесення зображень: мережевий Інтернет від Pixabay. Публічний домен.