Что такое SD-WAN?

Непрерывная сеть в одном месте называется «локальная сеть”(ЛВС) Некоторые компании работают в нескольких местах и ​​имеют сеть в каждом месте. Эти отдельные сети могут быть связаны вместе, чтобы сформировать одну сеть, которая может администрироваться централизованно. Это “Глобальная сеть,” или WAN.

Многие компании сейчас используют облачные сервисы, которые также могут быть интегрированы в локальную сеть, образуя глобальную сеть. Таким образом, существует множество разных причин, по которым сетевым администраторам следует подумать о создании глобальной сети..

У нас нет большого выбора, как связать WAN вместе. С этими удаленными сетями и ресурсами можно связаться через Интернет, и эта среда обеспечивает самый дешевый и простой способ создания глобальной сети..

Единственная проблема с интернетом заключается в том, что он не находится под контролем администратора сети. Он находится за пределами здания, а кабели, из которых он изготовлен, принадлежат другим организациям. Эта потеря контроля отталкивает многие компании от использования Интернета для соединения разрозненных сайтов..

Преимущества SD-WAN

Программно определяемые глобальные сети решают проблему контроля на общедоступном носителе. Шлюз, соединяющий локальную сеть с Интернетом, применяет шифрование трафика, проходящего между сайтами, обеспечивая им защиту конфиденциальности..

Системы SD-WAN могут маршрутизировать трафик, используя соглашения Интернет-протокола, или сокращать адреса через Многопротокольная коммутация по меткам (MPLS) система. Он также может отправлять трафик через сеть LTE на мобильные устройства.

Хотя технология называетсяпрограммное обеспечение определенного”, Это также может быть реализовано устройством, которое является аппаратным решением.

SD-WAN против интернет-соединений

Сотрудники на разных сайтах могут легко общаться друг с другом через Интернет, поэтому зачем возиться с SD-WAN? Основное различие между системой, которая управляет серией локальных сетей, соединенных Интернетом и глобальной сетью, заключается в том, что адресное пространство глобальной сети унифицировано.

Локальные сети используют частные IP-адреса, которые действительны только в этой сети, поэтому не имеет значения, что конечная точка в какой-либо другой сети где-то еще имеет такой же IP-адрес. Это также относится к локальной сети другого сайта той же компании. Все адреса в глобальной сети должны быть уникальными. Итак, создание WAN через Технология SD-WAN создает единое адресное пространство для всех сайтов.

WAN может иметь один центральный DHCP-сервер, один DNS-сервер, и один менеджер IP-адресов. Все еще возможно централизовать поддержку сети в одном месте, если каждый сайт компании имеет свою собственную локальную сеть. Однако это означает, что один сетевой администратор должен отслеживать несколько адресных пространств, и это может усложниться..

Программное обеспечение SD-WAN перекрывает промежуточные проблемы интернет-адресации и просто представляет одно адресное пространство администратору для частной сети, хотя эта сеть физически разбросана.

SD-WAN и VPN

Рабочие процедуры SD-WAN очень похожи на виртуальные частные сети (VPN). Предприятия уже давно используют VPN. Их приложение позволяет удаленным сотрудникам подключаться к сети компании и обрабатываться так, как если бы они находились в одном здании. Ссылка на удаленного работника осуществляется через Интернет и защищена шифрованием..

Разница между функциями VPN и SD-WAN заключается в том, что VPN соединяет одну конечную точку с сетью, тогда как SD-WAN создает связь между двумя сетями, каждая из которых обслуживает множество конечных точек. Программное обеспечение SD-WAN также может предоставлять VPN-соединения отдельным сотрудникам..

И VPN, и SD-WAN используют метод, который называетсяинкапсуляция.Это включает размещение всего пакета внутри полезной нагрузки другого пакета. Внешний пакет имеет свой собственный заголовок, который не относится к информации о маршрутизации, содержащейся в заголовке исходного внутреннего пакета. Внешний пакет существует достаточно долго, чтобы получить внутренний пакет через Интернет..

Основная цель инкапсуляции заключается в том, чтобы весь исходный пакет был зашифрован и таким образом защищен от перехватчиков. Это означает, что информация о маршрутизации, содержащаяся в пакете заголовка, временно сделан нечитаемым, и поэтому бесполезен в качестве источника информации для маршрутизаторов через Интернет. Это эффективно делает внутренний пакет «невидимым» для всех устройств в Интернете. Аналогия с этим процессом заключается в том, что кто-то в пути проходит через туннель на протяжении некоторого пути и поэтому будет временно невидим для любого, кто отслеживает этого человека на вертолете. По этой причине инкапсуляция известна как «туннелирование.»

Защита соединения SD-WAN

Наиболее часто используемый метод защиты трафика SD-WAN при его прохождении через Интернет IPSec. Это представляет другое сходство с технологией VPN, поскольку IPSec является одним из вариантов безопасности, часто используемых для защиты VPN. Однако наиболее распространенной системой безопасности, используемой для VPN, является OpenVPN.

IPSec – это открытый стандарт, опубликованный Инженерной рабочей группой по Интернету (IETF) первоначально как RFC 1825, RFC 1826 и RFC 1827. Открытый стандарт означает, что любой может получить доступ к определению протокола и реализовать его без уплаты комиссии. Нет никаких ограничений на коммерческое использование стандарта.

IPSec является «Слой 3»(Терминология OSI). Это часть набор протоколов TCP / IP и находится ниже транспортного уровня. Этот уровень протокола обычно реализуется маршрутизаторами – коммутаторы являются «Слой 2Устройства. Находясь ниже транспортного уровня, IPSec не может установить сеанс. Однако он может аутентифицировать удаленный маршрутизатор и обмениваться ключами шифрования. По сути, эти процедуры имитируют работу, проделанную TCP для установить сессию.

Системы безопасности в IPSec терпеть через ссылки, так что он охватывает все путешествие по интернету. Шифрование охватывает заголовки пакетов сетевого трафика, переадресовывая все пакеты с внешним заголовком, чтобы передать его через Интернет к соответствующему шлюзу на удаленном сайте..

Инкапсуляция IPSec согласовывает разницу между частной областью сетевых IP-адресов и требованием уникальности общедоступного адресного пространства Интернета. Протокол IPSec определяет две разные степени шифрования. Протокол можно использовать в «транспортный режим.В этом случае только тело переносимого пакета зашифровано. Другой вариант «туннельный режим,”, Который шифрует весь пакет, включая заголовок, и помещает его во внешний пакет с читаемым заголовком. В SD-WAN IPSec является всегда используется в туннельном режиме.

Метод шифрования, который может быть развернут с помощью IPSec, остается на усмотрение разработчика программного обеспечения для реализации. Это может быть TripleDES-CBC, AES-CBC, AES-GCM или ChaCha20 с Poly 1305.

Реализация SD-WAN

Как система уровня 3, SD-WAN должны быть реализованы маршрутизатором. Однако можно купить программное обеспечение для компьютера, который захватывает весь трафик до того, как он достигает маршрутизатора, управляет задачами SD-WAN и затем отправляет все это в Интернет через маршрутизатор. Это виртуальное устройство решение. Альтернативный способ – заменить маршрутизатор устройством, в которое встроено программное обеспечение SD-WAN..

Устройство или комбинация программного обеспечения и маршрутизатора должны иметь возможность дополнительно направлять трафик через SD-WAN или через Интернет в другие пункты назначения. Эта гибкость называется «сплит туннелирование”Потому что корпоративные данные, предназначенные для удаленного узла WAN, будут проходить через туннель SD-WAN, в то время как обычный интернет-трафик будет выходить в Интернет без инкапсуляции.

Терминология SD-WAN существует только с 2014 года, хотя базовая технология существует дольше. Однако эта методология уже используется в облачных вычислениях. Облачные вычисления объединяют программное обеспечение со вспомогательным оборудованием и называются «Программное обеспечение как услуга”(SaaS). Программное обеспечение SD-WAN можно разместить на удаленном сервере, создавая сетевое программное обеспечение как службу. Эта категория услуг называется «Унифицированные коммуникации как услуга,” или UCaaS.

В архитектуре UCaaS компании-клиенту не нужно покупать какое-либо специальное программное обеспечение или устройство. Вместо этого VPN-подключение от компании к облачному серверу направляет весь трафик на сервис UCaaS. В этой точке применяются процессы SD-WAN, и трафик направляется на соответствующий удаленный сайт, который также подключен к системе UCaaS через VPN.

Поскольку весь трафик со всех сайтов проходит через сервер UCaaS, решения о том, следует ли направлять трафик через туннель на другой сайт или отправлять его через обычный Интернет, принимаются на облачном сервере..

Стратегия маршрутизации всего трафика через облачный сервис становится все более распространенной и называется «пограничный сервис.«Это новый метод, используемый компаниями в области кибербезопасности для обеспечения защиты межсетевым экраном в сетях, и сервис UCaaS может добавить защиту безопасности, включая мониторинг электронной почты. Другие дополнительные возможности, которые может предоставить система UCaaS, включают системы непрерывности, резервного копирования и архивирования..

Облачные SD-WAN более рентабельны, чем локальные решения, поскольку они устраняют первоначальные затраты на приобретение необходимого оборудования и программного обеспечения для создания WAN и не требуют, чтобы их обслуживали технические специалисты. Системы UCaaS обычно оплачиваются по основа подписки которая стоит небольшую часть стоимости покупки аппаратного и программного обеспечения для собственной работы.

Атрибуция изображения: Сетевой Интернет от Pixabay. Всеобщее достояние.