Ce este SD-WAN?

Ce este SD-WAN?


O rețea contiguă într-o singură locație se numește „rețea locală”(LAN) Unele companii operează mai multe locații și au o rețea în fiecare loc. Aceste rețele separate pot fi legate între ele pentru a forma o rețea care poate fi administrată central. Acesta este un "rețea de arie largă,”Sau WAN.

Multe companii folosesc acum servicii cloud, care ar putea fi integrate și în LAN, formând o rețea WAN. Deci, există numeroase motive pentru care administratorii de rețea să ia în considerare crearea unui WAN.

Nu există prea multe opțiuni cu privire la modul de conectare a rețelei WAN. Rețelele și resursele de la distanță pot fi contactate pe internet și acest suport oferă cel mai ieftin și mai simplu mod de a forma un WAN.

Singura problemă cu internetul este că nu este sub controlul administratorului de rețea. Se află în afara clădirii, iar cablurile care o formează sunt deținute de alte organizații. Această pierdere a controlului scoate o mulțime de companii de la exploatarea internetului pentru a se conecta la site-uri împrăștiate.

Avantajele SD-WAN

Rețelele de arie largă definite de software rezolvă problema controlului pe un suport public. Gateway-ul care conectează LAN-ul la internet aplică criptare traficului care trece între site-uri, oferindu-le protecție de confidențialitate.

Sistemele SD-WAN pot orienta traficul folosind convențiile Protocolului Internet sau pot scurta adresele prin intermediul Comutarea etichetei multiprotocol (MPLS) sistem. De asemenea, este capabil să transmită trafic rețeaua LTE la dispozitivele mobile.

Deși tehnologia este denumită „definite de software-”, Poate fi implementat și de un aparat, care este o soluție hardware.

SD-WAN-uri vs. conexiuni la internet

Angajații de pe site-uri separate pot comunica ușor unul cu celălalt pe internet, deci de ce să te deranjezi cu un SD-WAN? Principala diferență între un sistem care operează o serie de rețele LAN conectate de internet și un WAN este că spațiul de adrese al unui WAN este unificat.

Rețelele LAN folosesc adrese IP private, care sunt valabile doar în rețeaua respectivă, astfel încât nu contează că un punct final al unei alte rețele din altă parte are aceeași adresă IP. Aceasta se aplică și LAN-ului unui alt site al aceleiași companii. Toate adresele de pe un WAN trebuie să fie unice. Deci, crearea unui WAN prin Tehnologia SD-WAN creează un spațiu de adresă unic pe toate site-urile.

WAN-ul poate avea unul central Server DHCP, unu Server DNS, și un manager de adrese IP. Este încă posibil să centralizezi suportul de rețea într-o singură locație dacă fiecare site al afacerii își păstrează propria LAN. Cu toate acestea, asta înseamnă că singurul administrator de rețea trebuie să țină evidența mai multor spații de adrese și care se poate complica.

Software-ul SD-WAN suprapune problemele de abordare a internetului care intervine și prezintă doar un spațiu de adresă administratorului pentru rețeaua privată, chiar dacă rețeaua este risipită fizic.

SD-WAN-uri și VPN-uri

Procedurile de lucru ale SD-WAN-urilor sunt foarte similare cu cele ale rețelelor private virtuale (VPN). Întreprinderile folosesc VPN-uri de ceva timp. Aplicația lor permite lucrătorilor de la distanță să se conecteze la rețeaua companiei și să fie tratați ca și cum ar fi în aceeași clădire. Legătura cu lucrătorul la distanță este transportată pe internet și este protejată prin criptare.

Diferența dintre funcțiile unui VPN și a unui SD-WAN este că VPN conectează un singur punct final la o rețea, în timp ce SD-WAN creează o legătură între două rețele, fiecare servind multe puncte finale. Software-ul SD-WAN poate oferi, de asemenea, conexiuni VPN lucrătorilor individuali.

Atât VPN-urile, cât și SD-WAN-urile folosesc o metodă care se numește „încapsulare.”Aceasta implică plasarea unui pachet întreg în sarcina utilă a unui alt pachet. Pachetul exterior are propriul său antet, care nu se referă la informațiile de rutare conținute în antetul pachetului interior original. Pachetul exterior există suficient de mult timp pentru a obține pachetul interior pe internet.

Scopul principal al încapsulării este de a permite întregului pachet original să fie criptat și astfel protejat împotriva furtunilor. Aceasta înseamnă că informațiile de rutare conținute în pachetul antet este redat temporar necitit, și, prin urmare, inutil ca sursă de informații pentru routere de pe internet. Acest lucru face eficient pachetul interior „invizibil” pentru toate dispozitivele de pe internet. O analogie a acestui proces este aceea când cineva dintr-o călătorie trece printr-un tunel pentru o parte a drumului și astfel ar fi temporar invizibil pentru oricine urmărește persoana respectivă cu elicopterul. Din acest motiv, încapsularea este cunoscută sub numele de „tunelelor.“

Protecție conexiune SD-WAN

Cea mai utilizată metodă de protecție pentru traficul SD-WAN pe măsură ce trece pe internet este IPSec. Aceasta prezintă o altă similitudine cu tehnologia VPN, deoarece IPSec este una dintre opțiunile de securitate utilizate frecvent pentru securizarea VPN-urilor. Cu toate acestea, cel mai comun sistem de securitate utilizat pentru VPN-uri este OpenVPN.

IPSec este un standard deschis, publicat de Internet Engineering Taskforce (IETF) inițial ca RFC 1825, RFC 1826 și RFC 1827. Un standard deschis înseamnă că oricine poate accesa definiția protocolului și implementați-l fără a plăti o taxă. Nu există restricții privind utilizarea comercială a standardului.

IPSec este un „Stratul 3Protocolul ”(terminologie OSI). Face parte din suita de protocol TCP / IP și este sub stratul de transport. Acest strat de protocol este de obicei implementat de routere - comutatoarele fiind „Stratul 2”Dispozitive. Fiind sub stratul de transport, IPSec nu este în măsură să stabilească o sesiune. Cu toate acestea, este capabil să autentifice routerul de la distanță și să schimbe cheile de criptare. Aceste proceduri imită efectiv munca depusă de TCP stabilirea unei sesiuni.

Sistemele de securitate în IPSec îndurați peste legături, deci acoperă întreaga călătorie pe internet. Criptarea cuprinde antetele de pachete ale traficului de rețea, readresând toate pachetele cu un antet exterior pentru a-l trece pe internet către poarta de corespondență de pe site-ul de la distanță..

Încapsularea IPSec împacă diferența dintre sfera privată a adreselor IP de rețea și cerința de unicitate a spațiului public de adrese de internet. Protocolul IPSec definește două extinderi diferite de criptare. Protocolul poate fi utilizat în „modul de transport.”În acest caz, numai corpul pachetului transportat este criptat. Cealaltă opțiune este „modul tunel,”, Care criptează întregul pachet, inclusiv antetul și îl plasează într-un pachet exterior cu un antet care poate fi citit. În SD-WAN-uri, IPSec este folosit întotdeauna în modul tunel.

Metoda de criptare care poate fi implementată cu IPSec este lăsată la alegerea dezvoltatorului software-ului de implementare. Poate fi TripleDES-CBC, AES-CBC, AES-GCM sau ChaCha20 cu Poly 1305.

Implementarea SD-WAN

Ca sistem Layer 3, SD-WAN-urile ar trebui să fie implementate de router. Cu toate acestea, este posibil să cumpărați software pentru un computer care captează tot traficul înainte de a ajunge la router, gestionează sarcinile SD-WAN și apoi trimite totul pe internet prin router. Acesta este un aparat virtual soluţie. O metodă alternativă este înlocuirea routerului cu un aparat care are software-ul SD-WAN încorporat în acesta.

Aparatul sau combinația software-router ar trebui să poată orienta opțional traficul prin SD-WAN sau pe internet către alte destinații. Această flexibilitate se numește „tunel divizat”Deoarece datele corporative destinate unui site de la distanță al rețelelor WAN vor călători prin tunelul SD-WAN, în timp ce traficul regulat de internet va ieși pe internet fără încapsulare.

Terminologia SD-WAN a existat abia din 2014, deși tehnologia de bază a existat mai mult. Cu toate acestea, metodologia este deja absorbită în cloud computing. Cloud computing pachetă software cu hardware suport și este denumit „Sistem de operare ca serviciu”(SaaS). Software-ul SD-WAN poate fi găzduit pe un server la distanță, creând software-ul de rețea ca serviciu. Această categorie de servicii este denumită „Comunicări unificate ca serviciu,”Sau UCaaS.

În arhitectura UCaaS, compania-client nu are nevoie să cumpere niciun software sau dispozitiv special. În schimb, o conexiune VPN de la companie la serverul cloud canalizează tot traficul către serviciul UCaaS. Procesele SD-WAN sunt aplicate în acel moment și traficul este redirecționat către site-ul de la distanță corespunzător, care este de asemenea conectat la sistemul UCaaS printr-o VPN.

Întrucât tot traficul de pe toate site-urile trece prin serverul UCaaS, deciziile privind direcționarea traficului prin tunel către un alt site sau trimiterea acestuia pe internet obișnuit se iau pe serverul cloud.

Strategia de rutare a întregului trafic printr-un serviciu cloud devine din ce în ce mai comună și este denumită „servicii de margine.”Aceasta este o metodă nouă folosită de companiile de securitate cibernetică pentru a oferi protecție firewall-ului pentru rețele, iar serviciul UCaaS poate adăuga protecție de securitate, inclusiv monitorizare prin e-mail. Alte suplimente pe care le poate oferi sistemul UCaaS includ sisteme de continuitate, backup și arhivare.

SD-WAN-urile bazate pe cloud sunt mai rentabile decât soluțiile la fața locului, deoarece elimină costurile inițiale ale achiziționării hardware-ului și software-ului necesar pentru a crea rețeaua WAN și nu necesită tehnicieni pentru a le menține. Sistemele UCaaS sunt de obicei încărcate o bază de abonament care costă o fracțiune din prețul de cumpărare a hardware-ului și software-ului pentru a fi rulat în casă.

Atribuirea imaginii: rețea Internet de la Pixabay. Domeniu public.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 80 = 85