Cisco Romania Blog

TechBites: Ce este SD-WAN?

3 min read



Știați de predicția Gartner pentru anul 2024, conform căreia, la nivel global, 60% din companii vor implementa o soluție de SD-WAN, comparativ cu circa 30% la finalul anului trecut?

Îmi propun ca în acest articol să discutam conceptele de bază ale soluției Cisco Software Defined Wide Area Network, respectiv beneficiile asociate.

SD-WAN este o arhitectură virtuală, ce permite folosirea oricărui tip de conexiune: Internet, VPN, MPLS, 4G, 5G, pentru a ne asigura că aplicațiile și serviciile companiei vor comunica în mod optim și securizat peste WAN. Soluția SD-WAN aduce avantaje importante companiilor care au mai multe locații fizice care necesită transferul de date via unul sau mai mulți operatori de internet, folosind circuitele disponibile în mod activ pentru balansarea traficului, ori selectând automat, pe bază de un SLA definit.

Rețelele clasice Enterprise WAN agregă, în majoritatea cazurilor, tot traficul generat de locațiile aflate la distanță, în site-ul central. Spre deosebire, design-ul soluției SD-WAN permite accesul optim către aplicații aflate on-prem (Datacenter propriu), într-un site de colocare, în cloud ori internet. Astfel, se poate asigura acces securizat direct la internet pentru anumite tipuri de trafic dintr-o locație aflată la distanță, obținând o performanță și o experiență superioară a utilizatorului.

Pe baza unei topologii fizice existente, soluția SD-WAN creează topologii virtuale ce pot fi folosite de diverse aplicații ori tip de trafic, similar conceptului de mașini virtuale pe un server fizic, extins în acest caz la nivel de rețea WAN. Sunt suportate topologii virtuale ce acoperă orice scenariu: tip full-mesh, hub-and-spoke, parțial mesh. Ca exemplificare, schimbul de date între două locații poate fi efectuat în mod direct, punct la punct, fără a mai fi redirectat prin sediul central, în timp ce accesul ambelor locații la o aplicație localizată în Data Center va putea folosi o topologie de tip hub-and-spoke către locația principală.

Soluția Cisco SD-WAN a fost creată din start pe baza unor principii de tip SDN clare:

  • separarea distinctă a data-plane de control-plane, management respectiv orchestrare;
  • securizarea informației transmise;
  • operarea facilă dintr-o singură interfață

Aceste principii aduc numeroase beneficii rețelelor WAN, fiind necesar să intram un pic în detalii pentru fiecare punct în parte:

Distincția clară între control plane și data plane permite o scalabilitate mult mai bună a rețelelor. Echipamentele de rețea (cEdge) nu mai trebuie să aibă o poză globală cu detalii de rutare a traficului, respectiv o schimbare de topologie nu mai este necesar să fie propagată în toată rețeaua. Informațiile de rutare sunt la nivel de control plane (vSmart), putând scala pe orizontală din perspectiva numărului de echipamente. Același lucru este valabil și pentru management (vManage) și orchestrare (vBond). Politici create centralizat prin intermediul vManage sunt împinse către vSmart ori cEdge, fără a necesita configurarea pe fiecare echipament în parte. Putem crea variabile (ex.: adresă IP, hostname), ce se vor defini specific pentru fiecare echipament la aplicare, putând maximiza cât mai mult configurarea comună și evita o muncă repetitivă.

Securizarea informației pleacă de la conceptul de Zero Trust, în care datele nu sunt transmise înainte de a avea o securizare a convorbirii. Arhitectura soluției Cisco SD-WAN are înglobate mai multe niveluri de securitate:

  • Filtrarea implicită a porturilor disponibile pe interfețele WAN ale echipamentelor cEDGE. Când este livrat, echipamentul Cisco are deschise doar porturile esențiale ce îi vor permite integrarea în rețea (zero-touch ori manuală), permițând serviciile de DHCP, DNS și ICMP.
  • Certificate instalate implicit pe echipamentele Cisco în hardware, în memoria Secure Unique Device Identification (SUDI), instalată în cadrul procesului de fabricație, ce permit securizarea tunelelor către controllere de tip DTLS/TLS.
  • Conceptul de listă de acces la nivel de orchestrare, unde se vor menționa doar echipamentele achiziționate ce vor fi integrate în soluție (pe bază de product ID, numărul serial al echipamentului și al certificatului preinstalat), orice alt echipament nefiind acceptat.
  • Suplimentar listei de acces, autentificarea componentelor soluției (cEdge-Controller ori Controller-Controller) se face prin validarea Root of Trust a certificatului, respectiv prin compararea numelui declarat al organizației cu cel conținut în certificat.
  • Ulterior procesului de autentificare sunt automat create tunele de tip DTLS/TLS pentru comunicația cu un controller, respectiv IPSEC între echipamente.
  • Separarea totală a diferitelor tipuri de trafic (ex.: trafic de tip guest față de cel de companie) prin conceptul de VPN.

Operarea soluției Cisco SD-WAN a fost, de asemenea, gândită din start pentru a ușura cât mai mult acest proces. Dintr-o singură interfață, operatorul are acces la managementul complet al rețelei, nefiind neapărat necesară conectarea pe fiecare echipament în parte:

  • inventarul componentelor integrat cu managementul imaginilor software pentru upgrade programat
  • statusul curent al conexiunilor și echipamentelor
  • provizionarea configurației echipamentelor pe bază de șabloane
  • configurarea de politici de trafic pe bază de șabloane
  • vizualizare și troubleshooting la nivel de tip de aplicație
  • loguri și alarme
  • date de analiză trafic

Suplimentar, soluția pune la dispoziție interfețe programabile pentru aplicații (API-uri), prin care se pot extrage informații utile într-un mod facil, beneficiind de posibilitatea de a customiza tipul și modalitatea de reprezentare a informației necesare fiecărui client în parte, respectiv de a interconecta soluția cu alte platforme existente.

Toate aceste principii de SDN ce stau la baza soluției Cisco SD-WAN asigură o arhitectură scalabilă, robustă, securizată, ușor de implementat și monitorizat, reprezentând fundația pe care au fost introduse multe alte inovații și beneficii despre care vom povesti în articolele următoare.

Authors

Teddy Moldoveanu

System Engineer

Sales

Lăsați un comentariu