เครือข่ายที่ต่อเนื่องกันในที่เดียวเรียกว่า“เครือข่ายท้องถิ่น” (แลน) บริษัท บางแห่งดำเนินงานหลายแห่งและมีเครือข่ายในแต่ละแห่ง เครือข่ายแยกเหล่านี้สามารถเชื่อมโยงเข้าด้วยกันเพื่อสร้างเครือข่ายเดียวที่สามารถจัดการจากส่วนกลาง มันคือ “เครือข่ายบริเวณกว้าง,” หรือ WAN.
ตอนนี้หลาย บริษัท ใช้บริการคลาวด์ซึ่งสามารถรวมเข้ากับ LAN เพื่อสร้าง WAN ดังนั้นมีเหตุผลที่แตกต่างกันมากมายสำหรับผู้ดูแลระบบเครือข่ายในการพิจารณาสร้าง WAN.
ไม่มีทางเลือกมากนักเกี่ยวกับวิธีเชื่อมโยง WAN เข้าด้วยกัน เครือข่ายระยะไกลและทรัพยากรเหล่านั้นสามารถติดต่อผ่านอินเทอร์เน็ตและสื่อที่ให้วิธีที่ถูกที่สุดและง่ายที่สุดในการสร้าง WAN.
ปัญหาเดียวของอินเทอร์เน็ตก็คือ มันไม่ได้อยู่ในการควบคุมของผู้ดูแลระบบเครือข่าย. มันอยู่นอกอาคารและสายเคเบิลที่ทำให้เป็นเจ้าของโดยองค์กรอื่น ๆ การสูญเสียการควบคุมทำให้ธุรกิจจำนวนมากไม่สามารถใช้อินเทอร์เน็ตเพื่อเชื่อมต่อเว็บไซต์ที่กระจัดกระจาย.
ประโยชน์ของ SD-WAN
เครือข่ายบริเวณกว้างที่กำหนดโดยซอฟต์แวร์แก้ปัญหาการควบคุมบนสื่อสาธารณะ เกตเวย์ที่เชื่อมต่อ LAN กับอินเทอร์เน็ตจะใช้การเข้ารหัสกับปริมาณการใช้งานที่ส่งผ่านระหว่างไซต์ต่างๆ.
ระบบ SD-WAN สามารถกำหนดเส้นทางการรับส่งข้อมูลโดยใช้ระเบียบของ Internet Protocol หรือทำให้ที่อยู่สั้นลง การสลับฉลาก Multiprotocol (MPLSระบบ) นอกจากนี้ยังสามารถส่งทราฟฟิก เครือข่าย LTE ไปยังอุปกรณ์มือถือ.
แม้ว่าเทคโนโลยีจะเรียกว่า “ซอฟแวร์ที่กำหนดไว้” มันยังสามารถใช้งานได้โดยอุปกรณ์ซึ่งเป็นโซลูชั่นฮาร์ดแวร์.
SD-WAN กับการเชื่อมต่ออินเทอร์เน็ต
พนักงานในเว็บไซต์ที่แยกต่างหากสามารถสื่อสารกับคนอื่นผ่านทางอินเทอร์เน็ตได้อย่างง่ายดาย ทำไมต้องกังวลกับ SD-WAN? ความแตกต่างที่สำคัญระหว่างระบบที่ใช้งาน LAN หลาย ๆ เครื่องที่เชื่อมต่อกับอินเทอร์เน็ตและ WAN คือ พื้นที่ที่อยู่ของ WAN ถูกรวมเป็นหนึ่ง.
LAN ใช้ที่อยู่ IP ส่วนตัวที่ถูกต้องภายในเครือข่ายนั้นเท่านั้นดังนั้นจึงไม่สำคัญว่าปลายทางในเครือข่ายอื่นที่อื่นจะมีที่อยู่ IP เดียวกัน นอกจากนี้ยังใช้กับ LAN ของเว็บไซต์อื่นของ บริษัท เดียวกัน ที่อยู่ทั้งหมดใน WAN ต้องไม่ซ้ำกัน ดังนั้นการสร้าง WAN ผ่าน เทคโนโลยี SD-WAN สร้างพื้นที่ที่อยู่เดียวในทุกไซต์.
WAN สามารถมีศูนย์กลางเดียวได้ เซิร์ฟเวอร์ DHCP, หนึ่ง เซิร์ฟเวอร์ DNS, และ ผู้จัดการที่อยู่ IP หนึ่งราย. ยังคงเป็นไปได้ที่จะรวมศูนย์สนับสนุนเครือข่ายไว้ในที่เดียวถ้าแต่ละธุรกิจของธุรกิจรักษา LAN ของตัวเอง อย่างไรก็ตามนั่นหมายความว่าผู้ดูแลระบบเครือข่ายรายหนึ่งต้องติดตามพื้นที่ที่อยู่หลายแห่งและอาจซับซ้อน.
ซอฟต์แวร์ SD-WAN ซ้อนทับปัญหาที่อยู่อินเทอร์เน็ตที่แทรกแซง และนำเสนอพื้นที่ที่อยู่เพียงที่เดียวแก่ผู้ดูแลระบบสำหรับเครือข่ายส่วนตัวแม้ว่าเครือข่ายนั้นจะกระจัดกระจาย.
SD-WAN และ VPN
ขั้นตอนการทำงานของ SD-WAN นั้นคล้ายกันมากกับเครือข่ายส่วนตัวเสมือน (VPN) ธุรกิจต่างๆใช้ VPN มาระยะหนึ่งแล้ว แอปพลิเคชันของพวกเขาอนุญาตให้พนักงานที่อยู่ห่างไกลสามารถเชื่อมต่อกับเครือข่ายของ บริษัท และได้รับการปฏิบัติเสมือนอยู่ในอาคารเดียวกัน ลิงก์ไปยังผู้ปฏิบัติงานระยะไกลดำเนินการผ่านอินเทอร์เน็ตและได้รับการคุ้มครองโดยการเข้ารหัส.
ความแตกต่างระหว่างฟังก์ชั่นของ VPN และ SD-WAN ก็คือ VPN เชื่อมต่อจุดปลายเดียวกับเครือข่าย, ในขณะที่ SD-WAN สร้างการเชื่อมโยงระหว่างเครือข่ายสองแห่งแต่ละแห่งให้บริการจุดปลายจำนวนมาก ซอฟต์แวร์ SD-WAN ยังสามารถให้การเชื่อมต่อ VPN กับพนักงานแต่ละคน.
ทั้ง VPN และ SD-WAN ใช้วิธีการที่เรียกว่า“encapsulation.” สิ่งนี้เกี่ยวข้องกับการวางแพ็กเก็ตทั้งหมดไว้ในเพย์โหลดของแพ็กเก็ตอื่น แพ็คเก็ตด้านนอกมีส่วนหัวของตัวเองซึ่งไม่เกี่ยวข้องกับข้อมูลเส้นทางที่มีอยู่ในส่วนหัวของแพ็กเก็ตภายในเดิม แพ็คเก็ตด้านนอกมีอยู่นานพอที่จะรับแพ็คเก็ตด้านในอินเทอร์เน็ต.
วัตถุประสงค์หลักของการห่อหุ้มคือการเปิดใช้งานการเข้ารหัสแพ็คเก็ตดั้งเดิมทั้งหมดและป้องกันจากผู้สอดแนม ซึ่งหมายความว่าข้อมูลเส้นทางที่มีอยู่ในแพ็คเก็ตส่วนหัวคือ ไม่สามารถอ่านได้ชั่วคราว, และดังนั้นจึงไร้ประโยชน์เป็นแหล่งข้อมูลให้เราเตอร์ผ่านอินเทอร์เน็ต สิ่งนี้ทำให้แพ็กเก็ตด้านใน“ มองไม่เห็น” กับอุปกรณ์ทั้งหมดบนอินเทอร์เน็ตได้อย่างมีประสิทธิภาพ การเปรียบเทียบกับกระบวนการนี้คือการที่ใครบางคนในการเดินทางผ่านอุโมงค์เพื่อเป็นส่วนหนึ่งของเส้นทางและจะไม่สามารถมองเห็นใครก็ตามที่ติดตามบุคคลนั้นด้วยเฮลิคอปเตอร์ ด้วยเหตุนี้ encapsulation จึงถูกขนานนามว่า“การขุดเจาะอุโมงค์.”
การป้องกันการเชื่อมต่อ SD-WAN
วิธีการป้องกันที่ใช้กันมากที่สุดสำหรับการรับส่งข้อมูล SD-WAN ที่ผ่านทางอินเทอร์เน็ตคือ IPSec. สิ่งนี้นำเสนอความคล้ายคลึงกันอื่นกับเทคโนโลยี VPN เนื่องจาก IPSec เป็นหนึ่งในตัวเลือกความปลอดภัยที่ใช้บ่อยเพื่อรักษาความปลอดภัย VPN อย่างไรก็ตามระบบรักษาความปลอดภัยที่พบมากที่สุดที่ใช้สำหรับ VPN คือ OpenVPN.
IPSec เป็นมาตรฐานแบบเปิดที่เผยแพร่โดย Internet Engineering Taskforce (IETF) เดิมเป็น RFC 1825, RFC 1826 และ RFC 1827 มาตรฐานแบบเปิดหมายความว่า ทุกคนสามารถเข้าถึงคำจำกัดความของโปรโตคอลได้ และใช้งานได้โดยไม่เสียค่าธรรมเนียม ไม่มีข้อ จำกัด ในการใช้งานเชิงพาณิชย์ของมาตรฐาน.
IPSec คือ“ชั้นที่ 3” (คำศัพท์ OSI) โปรโตคอล มันเป็นส่วนหนึ่งของ ชุดโปรโตคอล TCP / IP และอยู่ด้านล่างเลเยอร์การขนส่ง ชั้นโปรโตคอลนี้มักจะใช้งานโดยเราเตอร์ – สวิตช์เป็น“ชั้นที่ 2” อุปกรณ์ การอยู่ด้านล่างเลเยอร์การขนส่ง IPSec ไม่สามารถสร้างเซสชันได้ อย่างไรก็ตามมันสามารถตรวจสอบเราเตอร์ระยะไกลและแลกเปลี่ยนกุญแจเข้ารหัส อย่างมีประสิทธิภาพขั้นตอนเหล่านี้เลียนแบบงานที่ทำโดย TCP ไป สร้างเซสชั่น.
ระบบรักษาความปลอดภัยใน IPSec ทนข้ามลิงก์, ดังนั้นจึงครอบคลุมการเดินทางทั้งหมดผ่านอินเทอร์เน็ต การเข้ารหัสนั้นครอบคลุมส่วนหัวของแพ็คเก็ตของทราฟฟิกเครือข่ายอ่านแพคเก็ตทั้งหมดที่มีส่วนหัวด้านนอกเพื่อให้สามารถส่งผ่านอินเทอร์เน็ตไปยังเกตเวย์ที่เกี่ยวข้องที่ไซต์ระยะไกล.
การห่อหุ้มของ IPSec ปรับความแตกต่างระหว่างขอบเขตส่วนตัวของที่อยู่ IP เครือข่ายและข้อกำหนดเฉพาะของพื้นที่ที่อยู่อินเทอร์เน็ตสาธารณะ โปรโตคอล IPSec กำหนดขอบเขตการเข้ารหัสที่แตกต่างกันสองแบบ โปรโตคอลสามารถใช้ใน“โหมดการขนส่ง.” ในกรณีนั้นมีการเข้ารหัสเฉพาะเนื้อหาของแพ็คเก็ตที่บรรทุก ตัวเลือกอื่น ๆ คือ“โหมดอุโมงค์,” ซึ่งเข้ารหัสแพ็กเก็ตทั้งหมดรวมถึงส่วนหัวและวางไว้ข้างในแพ็กเก็ตด้านนอกด้วยส่วนหัวที่อ่านได้ ใน SD-WANs IPSec คือ ใช้เสมอในโหมดทันเนล.
วิธีการเข้ารหัสที่สามารถปรับใช้กับ IPSec นั้นเป็นทางเลือกของผู้พัฒนาซอฟต์แวร์ที่ใช้งาน สามารถเป็น TripleDES-CBC, AES-CBC, AES-GCM หรือ ChaCha20 พร้อมโพลี 1305.
การใช้งาน SD-WAN
ในฐานะที่เป็นระบบเลเยอร์ 3 เราเตอร์ควรนำ SD-WAN มาใช้ อย่างไรก็ตามมันเป็นไปได้ที่จะซื้อซอฟต์แวร์สำหรับคอมพิวเตอร์ที่จับการรับส่งข้อมูลทั้งหมดก่อนที่จะถึงเราเตอร์จัดการงาน SD-WAN แล้วส่งมันออกสู่อินเทอร์เน็ตผ่านเราเตอร์ มันคือ อุปกรณ์เสมือน วิธีการแก้. อีกวิธีหนึ่งคือการแทนที่เราเตอร์ด้วยอุปกรณ์ที่มีซอฟต์แวร์ SD-WAN ฝังอยู่ในนั้น.
ชุดอุปกรณ์หรือซอฟต์แวร์เราเตอร์ควรสามารถกำหนดเส้นทางการรับส่งข้อมูลผ่าน SD-WAN หรือออกทางอินเทอร์เน็ตไปยังจุดหมายปลายทางอื่น ๆ ความยืดหยุ่นนี้เรียกว่า“อุโมงค์แยก” เพราะข้อมูลขององค์กรที่กำหนดไว้สำหรับไซต์ระยะไกลของ WAN จะเดินทางผ่านอุโมงค์ SD-WAN ในขณะที่ปริมาณการใช้งานอินเทอร์เน็ตปกติจะออกไปบนอินเทอร์เน็ตโดยไม่ต้องห่อหุ้ม.
คำศัพท์ SD-WAN มีมาตั้งแต่ปี 2014 เท่านั้นถึงแม้ว่าเทคโนโลยีพื้นฐานจะมีอยู่นานกว่า อย่างไรก็ตามวิธีการนั้นได้รับการดูดซึมเข้าสู่คลาวด์คอมพิวติ้งแล้ว ซอฟต์แวร์ Cloud computing ที่มาพร้อมกับฮาร์ดแวร์ที่รองรับและเรียกว่า“ซอฟต์แวร์เป็นบริการ” (SaaS) ซอฟต์แวร์ SD-WAN สามารถโฮสต์บนเซิร์ฟเวอร์ระยะไกลสร้างซอฟต์แวร์ระบบเครือข่ายเป็นบริการ บริการประเภทนี้เรียกว่า“Unified Communications เป็นบริการ,” หรือ UCaaS.
ในสถาปัตยกรรม UCaaS บริษัท ลูกค้าไม่จำเป็นต้องซื้อซอฟต์แวร์หรืออุปกรณ์พิเศษใด ๆ เป็นการเชื่อมต่อ VPN จาก บริษัท ไปยังเซิร์ฟเวอร์คลาวด์แทน แชนเนลการรับส่งข้อมูลทั้งหมดไปยังบริการ UCaaS. กระบวนการ SD-WAN จะถูกนำไปใช้ในจุดนั้นและปริมาณการใช้งานจะถูกส่งต่อไปยังไซต์ระยะไกลที่เหมาะสมซึ่งเชื่อมต่อกับระบบ UCaaS ผ่าน VPN.
เนื่องจากการรับส่งข้อมูลทั้งหมดจากทุกไซต์ผ่านเซิร์ฟเวอร์ UCaaS ให้ตัดสินใจว่าจะกำหนดเส้นทางการรับส่งข้อมูลผ่านอุโมงค์ไปยังไซต์อื่นหรือส่งออกผ่านอินเทอร์เน็ตปกติที่เซิร์ฟเวอร์คลาวด์.
กลยุทธ์ในการกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดผ่านบริการคลาวด์กำลังเพิ่มขึ้นเรื่อย ๆ และเรียกว่า“บริการที่ทันสมัย.”นี่เป็นวิธีการใหม่ที่ บริษัท ไซเบอร์รักษาความปลอดภัยใช้เพื่อให้การป้องกันไฟร์วอลล์ไปยังเครือข่ายและบริการ UCaaS สามารถเพิ่มการป้องกันความปลอดภัยรวมถึง ตรวจสอบอีเมล. ความพิเศษอื่น ๆ ที่ระบบ UCaaS สามารถให้ได้นั้นรวมถึงความต่อเนื่องการสำรองข้อมูลและระบบการเก็บถาวร.
SD-WANs บนคลาวด์นั้นคุ้มค่ากว่าโซลูชันในสถานที่เนื่องจากพวกเขาลบค่าใช้จ่ายล่วงหน้าในการซื้อฮาร์ดแวร์และซอฟต์แวร์ที่จำเป็นเพื่อสร้าง WAN และพวกเขาไม่ต้องการช่างเทคนิคในการบำรุงรักษา ระบบ UCaaS มักจะถูกเรียกเก็บเงินในวันที่ พื้นฐานการสมัครสมาชิก ซึ่งมีค่าใช้จ่ายเพียงเศษเสี้ยวของราคาซื้อฮาร์ดแวร์และซอฟต์แวร์เพื่อเรียกใช้ภายใน บริษัท.
ภาพที่แสดง: เครือข่ายอินเทอร์เน็ตจาก Pixabay โดเมนสาธารณะ.