Непрекъснатата мрежа на едно място се нарича „локална мрежа”(LAN) Някои компании работят на няколко места и имат мрежа на всяко място. Тези отделни мрежи могат да бъдат свързани заедно, за да образуват една мрежа, която може да бъде администрирана централно. Това е “широкообхватна мрежа,” или WAN.
Много компании сега използват облачни услуги, които също могат да бъдат интегрирани в LAN, образувайки WAN. Така че има много различни причини мрежовите администратори да обмислят създаването на WAN.
Няма голям избор за това как да свържем WAN заедно. Тези отдалечени мрежи и ресурси могат да се свързват по интернет и този носител предоставя най-евтиният и лесен начин за формиране на WAN.
Единственият проблем с интернет е това не е под контрола на мрежовия администратор. Той е извън сградата, а кабелите, които я правят, са собственост на други организации. Тази загуба на контрол отблъсква много предприятия от използването на интернет за свързване на разпръснати сайтове.
Предимствата на SD-WAN
Софтуерно дефинираните широкообхватни мрежи решават проблема с контрола върху обществен носител. Порталът, който свързва LAN към интернет, прилага криптиране към трафика, който преминава между сайтовете, като им осигурява защита на поверителността.
SD-WAN системите могат да маршрутизират трафика с помощта на конвенциите на Интернет протокола или да съкращават адресите през Multiprotocol превключване на етикети (MPLS) система. Освен това е в състояние да изпраща трафик LTE мрежата към мобилни устройства.
Въпреки че технологията се нарича „софтуерно“, Може да се реализира и от уред, който е хардуерно решение.
SD-WANs към интернет връзки
Служителите в отделни сайтове могат лесно да общуват помежду си по интернет, така че защо да се занимавам със SD-WAN? Основната разлика между система, която управлява поредица от локални мрежи, свързани с интернет и WAN, е това адресното пространство на WAN е унифицирано.
LAN мрежите използват частни IP адреси, които са валидни само в тази мрежа и затова няма значение, че крайната точка в друга мрежа някъде другаде има същия IP адрес. Това важи и за локалната мрежа на друг сайт на същата компания. Всички адреси в WAN трябва да бъдат уникални. Така че, създаване на WAN чрез SD-WAN технологията създава единно адресно пространство във всички сайтове.
WAN може да има една централна DHCP сървър, един DNS сървър, и един мениджър на IP адреси. Все още е възможно да се централизира мрежовата поддръжка на едно място, ако всеки сайт на бизнеса поддържа собствена локална мрежа. Това обаче означава, че един мрежов администратор трябва да следи няколко адресни пространства и това може да се усложни.
Софтуерът SD-WAN наслагва интервенционната интернет адресиране на проблеми и просто представя едно адресно пространство на администратора за частната мрежа, въпреки че физическата мрежа е разпръсната.
SD-WAN и VPN
Работните процедури на SD-WAN са много сходни с тези на виртуалните частни мрежи (VPN). Бизнесът използва VPN-и от известно време. Приложението им позволява на отдалечените работници да се свързват към мрежата на компанията и да се третират така, сякаш са в една и съща сграда. Връзката към отдалечения работник се пренася през интернет и е защитена чрез криптиране.
Разликата между функциите на VPN и SD-WAN е тази VPN свързва единична крайна точка към мрежа, като има предвид, че SD-WAN създава връзка между две мрежи, всяка от които обслужва много крайни точки. Софтуерът SD-WAN може също да предостави VPN връзки на отделни работници.
И VPN, и SD-WAN използват метод, който се нарича „капсулиране.”Това включва поставяне на цял пакет вътре в полезния товар на друг пакет. Външният пакет има собствена заглавка, която не се отнася до информацията за маршрутизация, съдържаща се в заглавката на първоначалния вътрешен пакет. Външният пакет съществува само достатъчно дълго, за да получи вътрешния пакет в интернет.
Основната цел на капсулирането е да се даде възможност на целия оригинален пакет да бъде криптиран и така защитен от снайпери. Това означава, че информацията за маршрутизацията, съдържаща се в заглавния пакет, е временно направени нечетливи, и следователно безполезен като източник на информация за маршрутизатори в интернет. Това ефективно прави вътрешния пакет „невидим“ за всички устройства в интернет. Аналогия на този процес е, когато някой на пътуване минава през тунел за част от пътя и така би бил временно невидим за всеки, който проследява този човек с хеликоптер. По тази причина капсулирането е известно като „тунелиране.”
Защита на SD-WAN връзка
Най-често използваният метод на защита за SD-WAN трафик, когато той преминава през интернет, е IPSec. Това представлява друго сходство с VPN технологията, тъй като IPSec е една от опциите за защита, често използвани за защита на VPN. Най-често срещаната система за сигурност, използвана за VPN, е OpenVPN.
IPSec е отворен стандарт, публикуван от Internet Engineering Taskforce (IETF), първоначално като RFC 1825, RFC 1826 и RFC 1827. Отворен стандарт означава, че всеки може да получи достъп до определението на протокола и го прилагайте без да плащате такса. Няма ограничения за търговската употреба на стандарта.
IPSec е „3 слой”(OSI терминология) протокол. Тя е част от пакетът TCP / IP протокол и е под транспортния слой. Този протоколен слой обикновено се реализира от рутери – комутаторите са „Слой 2“Устройства. Намирайки се под транспортния слой, IPSec не може да установи сесия. Въпреки това, той е в състояние да удостоверява отдалечения рутер и да обменя криптиращи ключове. Ефективно тези процедури подражават на работата, извършена от TCP за установете сесия.
Системите за сигурност в IPSec издържат през връзки, така че обхваща цялото пътуване из интернет. Криптирането обхваща заглавките на пакетите на мрежовия трафик, като пренаписва всички пакети с външна заглавка, за да го пренесе през интернет до съответния шлюз на отдалечения сайт.
Капсулирането на IPSec изравнява разликата между частния обхват на мрежовите IP адреси и изискването за уникалност на публичното интернет адресно пространство. Протоколът IPSec определя два различни екстеншъна на криптиране. Протоколът може да се използва в „начин на транспорт.“В такъв случай е шифровано само тялото на пренесения пакет. Другият вариант е „тунелен режим,”, Който криптира целия пакет, включително заглавката и го поставя във външен пакет с четима заглавка. В SD-WAN, IPSec е винаги се използва в режим на тунел.
Методът на криптиране, който може да се разгърне с IPSec, е оставен на избора на разработчика на реализиращия софтуер. Тя може да бъде TripleDES-CBC, AES-CBC, AES-GCM или ChaCha20 с Poly 1305.
Въвеждане на SD-WAN
Като система Layer 3, маршрутизаторите трябва да бъдат внедрени SD-WAN. Възможно е обаче да се закупи софтуер за компютър, който улавя целия трафик, преди да стигне до рутера, управлява SD-WAN задачите и след това го изпраща в интернет през рутера. Това е виртуален уред решение. Алтернативен метод е да замените рутера с уред, в който е вграден SD-WAN софтуерът.
Уредът или комбинацията софтуер-рутер трябва да могат по желание да насочват трафика по SD-WAN или навън в интернет към други дестинации. Тази гъвкавост се нарича „разделен тунел“, Защото корпоративните данни, предназначени за отдалечен сайт на WAN, ще пътуват през тунела SD-WAN, докато редовен интернет трафик ще излиза в интернет без капсулиране.
SD-WAN терминологията съществува само от 2014 г., въпреки че основната технология съществува по-дълго. Методологията обаче вече се усвоява в облачните изчисления. Облачно изчислителни пакети, свързани с поддръжка на хардуер и се наричат „Софтуер като услуга”(SaaS). Софтуерът SD-WAN може да бъде хостван на отдалечен сървър, създавайки мрежовия софтуер като услуга. Тази категория услуги се нарича „Единни комуникации като услуга,” или UCaaS.
В архитектурата на UCaaS клиентската компания няма нужда да купува специален софтуер или уред. Вместо това VPN връзка от компанията към облачния сървър канализира целия трафик към услугата UCaaS. Процесите SD-WAN се прилагат в този момент и трафикът се препраща към съответния отдалечен сайт, който също е свързан към системата UCaaS чрез VPN.
Тъй като целият трафик от всички сайтове преминава през UCaaS сървъра, решенията дали да се насочи трафикът през тунела към друг сайт или да го изпратите през обикновения интернет, се вземат на облачния сървър.
Стратегията за насочване на целия трафик през облачна услуга става все по-често срещана и се нарича „услуга на ръба.“Това е нов метод, използван от компаниите за киберсигурност, за да осигурят защита на защитната стена на мрежите и услугата UCaaS може да добави защита на защитата, включително наблюдение по имейл. Други екстри, които UCaaS системата може да предостави, включват системи за непрекъснатост, архивиране и архивиране.
Облачните SD-WAN са по-рентабилни от решенията на място, защото премахват първоначалните разходи за закупуване на необходимия хардуер и софтуер за създаване на WAN и не се нуждаят от техници, които да ги поддържат. Системите UCaaS обикновено се таксуват на основа за абонамент което струва част от цената на закупуването на хардуера и софтуера, които да се изпълняват вътрешно.
Приписване на изображението: Мрежов интернет от Pixabay. Публичен домейн.
Непрекъснатата мрежа на едно място се нарича „локална мрежа” (LAN). Това е мрежа, която се използва от много компании, които работят на няколко места и имат мрежа на всяко място. Тези мрежи могат да бъдат свързани заедно, за да образуват една мрежа, която може да бъде администрирана централно. Това е “широкообхватна мрежа,” или WAN. Много компании сега използват облачни услуги, които също могат да бъдат интегрирани в LAN, образувайки WAN. Така че има много различни причини мрежовите администратори да обмислят създаването на WAN. Няма голям избор за това как да свържем WAN заедно. Тези отдалечени мрежи и ресурси могат да се свързват по интернет и този носител предоставя най-евтиният и лесен начин за формиране на WAN. Единственият проблем с интернет е това не е под контрола на мрежовия администратор. Той е извън сградата, а кабелите, които я правят, са собственост на други организации. Тази загуба на контрол отблъсква много предприятия от използването на интернет за свързване на разпръснати сайтове.