در سالهای اخیر رایانش ابری به یکی از فناوریهای مهم دنیای شبکه تبدیل شده است. سازمانها برایآنکه بتوانند از مزایای بالقوه رایانش ابری استفاده کنند و مدلهای نوین را جایگزین مدلهای سنتی کنند مجبور هستند با زیرساختهای قدیمی شبکه خداحافظی کنند…
به همین دلیل است که تقاضا برای دسترسی به شبکههای پایدار روزبهروز بیشتر میشود. SD-WAN یکی از بهترین گزینهها در این زمینه است. شبکه نرمافزار –
محور در شبکه گسترده (SD-WAN) سرنام Software-Defined Networking in a Wide Area Network که برای سادگی در فهم شبکه گسترده
نرمافزار محور ترجمه میشود برخلاف شبکههای سنتی سرعت و امنیت شبکه را افزایش میدهد و درعینحال هزینهها و پیچیدگیها را کاهش میدهد، البته به
شرطی که درست پیادهسازی شود.
فناوری SD-WAN چیست؟
SD-WAN نوعی معماری شبکه گسترده مجازی است که برای غلبه بر مشکلات رایج شبکههای گسترده استفاده میشود. در معماری فوق سرپرستان شبکه
میتوانند از راه دور شبکه گسترده نرمافزار محور را مدیریت یا گسترش دهند. این مفهوم شباهت زیادی به نحوه پیادهسازی شبکه نرمافزار محور و بهکارگیری
فناوریهای مجازیسازی باهدف بهبود مدیریت و عملکرد مرکز داده دارد. برخی کارشناسان حوزه ارتباطات SD-WAN را معجزه رایانش ابری توصیف میکنند، زیرا
به شرکتها اجازه میدهد به بهترین شکل از شبکههای گسترده استفاده کنند و SD-WAN را به طور کامل یا به شکل جزئی جایگزین فناوریهای ارتباطی
گرانقیمتی همچون MPLS کنند. شبکههای گسترده نرمافزار به شرکتها امکان میدهند به شبکههای کامپیوتری خود وسعت بخشیده، شعب مستقر در مناطق
مختلف را به مراکز داده و به یکدیگر متصل کنند و برنامهها و خدمات موردنیاز برای انجام فعالیتهای تجاری را به بهترین شکل پیادهسازی کنند. باتوجهبه
محدودیتهای فیزیکی موجود همچون پراکندگی شعب و دور بودن آنها از یکدیگر به لحاظ موقعیت مکانی و نیاز به ادغام خدمات ابر محور ارائه شده توسط
شرکتهای مختلف که اغلب در کشورهای مختلف قرار دارند، پیادهسازی شبکههای گسترده با چالشهای عملیاتی زیادی روبرو است. از آن جمله میتوان به ازدحام،
اخیر در دریافت بستهها، ازدسترفتن بستهها و حتی عدم دسترسی به خدمات اشاره کرد. همچنین، برنامههای مدرنی نظیر تماسهای VoIP، کنفرانسهای
ویدئویی، استریمهای چندرسانهای و برنامههای مجازی به دادههای بلادرنگ نیاز دارند. از سویی دیگر، با شیوع ویروس کرونا شرکتها و کاربران بیشتر از گذشته به
پهنای باند نیاز دارند، بهویژه زمانی که قرار است و یدی و کنفرانسها باکیفیت بالا استریم شوند. برای حل این مشکلات سازمانها مجبور هستند قابلیتهای شبکههای
گسترده را ارتقا دهند؛ اما این کار باعث میشود تا مدیریت پیچیدهتر، عیبیابی سختتر و هزینهها افزایش پیدا کنند. فناوریSD-WAN برای غلبه بر این مشکلات
پدید آمد. سازمانها میتوانند با جایگزینی مسیریابهای دفاتر شعب (branch routers) با نمونههای مجازی که میتوان از طریق خطمشیهای سطح برنامه آنها را
کنترل کرد و یک شبکه پوششی (شبکه مجازی) ایجاد کرد، وابستگی به لینکها و پهنای باند تجاری را محدود کنند و تنها برای مصارف خاص از پهنای باند تجاری
که هزینهبر است استفاده کنند. در این سناریو پرسنل مستقر در شعب قادر هستند بهسادگی شبکه را تنظیم کنند، زیرا بخش اعظمی از کار توسط تیمهای فناوری
اطلاعات در شعبه مرکزی انجام میشود. به طور مثال، شرکت MEF Forum نوع خاصی از SD-WAN را پیادهسازی کرده که ترکیبی از SD-WAN،SD-
WAN Controller و SD-WAN Orchestrator است. SD-WAN Edge یک عملکرد شبکه فیزیکی یا مجازی مستقر در شعبه، دفتر مرکزی، ناحیه یا مرکز
داده موردنظر است که زیرساختهای ابری خصوصی یا عمومی را به یکدیگر متصل میکند. این شرکت موفق شد اولین استاندارد خدمات SD-WAN به نام MEF
70 را ارائه کند که ویژگیهای اساسی یک سرویسSD-WAN به همراه الزامات و خدمات موردنیاز را ارائه میکند. SD-WAN Orchestrator که بهطور معمول
شامل ویژگی SD-WAN Controller است برای تنظیم خطمشیهای متمرکز در ارتباط با آدرسهای آیپی استفاده میشوند. آدرسهای آیپی برای تعیین
کاربران برنامهها یا گروهبندی برنامههای مرتبط با یکدیگر استفاده میشوند. این گروهبندی بر مبنای برخی ویژگیهای رایج انجام میشود. به طور مثال، برنامههای
ویدئوکنفرانس در قالب Application Flow Group در MEF 70 طبقهبندی میشوند. بهازای هر طبقهبندی انجام شده،SD-WAN Edge بستههای آیپی
وارد شده را در SD-WAN UNI طبقهبندی میکند و بر مبنای پروتکلهای لایه 2 تا 7 مدل مرجعOSI مشخص میکند که بستههای آیپی به چه گروهی
اختصاص دارند. در ادامه بر مبنای خطمشیهای تعیین شده، بستهها را برای برنامه کاربردی ارسال کرده یا آنها را مسدود میکند. فرایند ارسال بستههای آیپی برای
برنامهها یا کاربران بر مبنای مسیرهای در دسترس که سرعت ایدهآلی دارند انجام میشود. رویکرد فوق تضمین میکند که عملکرد خدمات ارائه شده توسط SD-
WAN منطبق با مفاد مندرج در توافقنامه سطح خدمات است. در یک شبکه گسترده نرمافزار محور کنترل ارتباطات شبکه، روندهای کار برنامههای کاربردی،
خطمشیها، سازوکارهای امنیتی و مدیریت عمومی از سختافزارهای زیرساختی جدا میشود. در این حالت سرپرست شبکه مجبور نیست برای انجام وظایف خود به
محل استقرار تجهیزات مراجعه کند، زیرا تمامی فرایندهای کاری از طریق یک کنسول متمرکز مدیریت میشود. در روش سنتی شبکهسازی شعب مختلف، تجهیزات
به شکل فیزیکی در محل نصب، راهاندازی، پیکربندی و آزمایش میشوند. در انتها مهندس شبکه یکبار دیگر همه چیز را بررسی میکند تا مطمئن شود مشکل خاصی
وجود ندارد. این روش برای شرکتهایی که شعب محدودی دارند عملکرد قابلقبولی دارد، اما شرکتهایی که دهها یا صدها شعب دارند که در نواحی جغرافیایی
مختلف مستقر شدهاند باید وقت و زمان زیادی را صرف آمادهسازی شبکههای سنتی کنند. راهکاری که SD-WAN برای غلبه بر این مشکلات ارائه میکند پیکربندی
خودکار و غیردستی شبکهها است که تحت عنوانZero-touch provisioning از آن نامبرده میشود. در این حالت تنها چیزی که دستگاه به آن نیاز دارد یک
اتصال به اینترنت است تا مطابق با الگوی از پیش تعریف شده فرایند اتصال به سرویس ابر محور انجام شود. قابلیت آمادهسازی خودکار و غیر دستی (ZTD) فرایند
کشف و تنظیم تجهیزات جدید در شبکه گسترده نرمافزار محور را ممکن میکند. این کار، فرایند استقرار شبکه گسترده نرمافزار محور در شعبه یا در محل دفتر خدمات
ابری را تسریع و پربازدهتر میکند. سادگی و سهولت استفاده این امکان را فراهم میآورد تا چند شعبه را به شعبه مرکزی متصل کرد یا محیط بزرگی همچون یک
دانشگاه را با استفاده از SD-WAN پوشش داد، درعینحال اطمینان حاصل کرد که برنامهها در شرایط بهینه کار میکنند و امکان کنترل و مدیریت آنها از طریق
یک رابط متمرکز فراهم است. برعکس شبکههای گسترده سنتی، شبکههای گسترده نرمافزار محور چابکی را افزایش و هزینهها را کاهش میدهند. شرکت تحقیقاتی
گارتنر میگوید، یک شبکه SD-WAN کارآمد باید چهار ویژگی زیر را داشته باشد:
- SD-WAN باید بتواند از اتصالات مختلف پشتیبانی کند. این اتصالات میتوانند MPLS، شبکه فیبر نوری (Last Mile Fiber Optic Network) یا شبکه سلولی پر سرعت 4G ،LTE یا 5 باشند.
- SD-WAN برایآنکه بتواند بار کاری را بهدرستی به اشتراک بگذارد و انعطافپذیری خوبی در شبکه به وجود آورد باید توانایی انتخاب پویای مسیر را داشته باشد. مسیرگزینی پویا یعنی شبکه گسترده نرمافزار محور، ترافیک را به اتصالات خاصی از شبکه ارسال کند. اتصالاتی که الزامات خطمشیهای جاری شبکه از
جمله کیفیت خدمات، کیفیت تجربه، اولویتبندی ترافیک، خطمشیهای امنیتی و سناریوهای جبران نقص را شامل شود.
- SD-WAN باید یک رابط کاربری ساده ارائه کند که امکان پیکربندی و مدیریت آن با سهولت انجام شود.
- SD-WAN باید بتواند از شبکههای خصوصی مجازی و سرویسهای ثالث شبیه به کنترلکنندههای بهینهساز شبکه گسترده، دیوارهای آتش و دروازه هایوب پشتیبانی کند.
مزایای بهکارگیری SD-WAN چیست؟
در چند سال گذشته شبکههای گسترده نرمافزار محور قابلیتهای ذاتی خود را به اثبات رساندند، اما پس از شیوع ویروس کرونا و لزوم فاصلهگذاری اجتماعی که
دورکاری کارمندان یک سازمان را به همراه داشت، اهمیت پیادهسازی هرچه سریعتر SD-WAN در سازمانهای مختلف دوچندان شد. SD-WAN بیشتر به
دلیل مزایای زیر موردتوجه سازمانهای بزرگ و حتی کسبوکارهای کوچک قرار گرفته است:
-
- ارائه خدمات نرمافزاری، نظارت و رفع مشکلات در شعب بدون ازدستدادن زمان.
- اولویتبندی و تخصیص ترافیک به شبکه که بهبود عملکرد نرمافزارها و کارمندان را به همراه دارد.
- جایگزینی نرمافزارهای هوشمند بهجای سختافزارهای گرانقیمت باهدف صرفهجویی در هزینهها.
- مدیریت متمرکز باهدف مشاهده جزئیات مختلف که به سرپرستان شبکه کمک میکند با سهولت بیشتری شبکه را مدیریت کنند و ترافیک را متناسب میزان مصرف برنامههای کاربردی یا دستگاهها به آن تخصیص دهند.
- باتوجهبه اینکه شبکههای گسترده نرمافزار محور را میتوان روی سختافزار COTS سرنام Commercial Off-The-Shelf اجرا کرد و از اتصالات خصوصی و عمومی برای هدایت ترافیک استفاده کرد، گزینههای بیشتری در انتخاب نوع اتصالات و فروشندهها در دسترس است.
- خودترمیمی و افزونگی جبران نقص سریع، زمانی که خاموشی بر اتصالات شبکه گسترده تأثیر میگذارد.
- امنیت یکپارچه با کمک راهکارهای برتر تأمینکنندگان ثالث از جمله آنهایی که در حوزه امنیت نرمافزار در قالب خدمات فعال هستند.
- استقرار سریع که سبب میشود هنگام آنلاین شدن برنامهها در شعب دفاتر یا تغییر پیکربندیها کسبوکار چابک باشد. آمادهسازی خودکار بدون دخالت دست اجازه میدهد تا سایتها بهجای ساعتها یا روزها، ظرف چند دقیقه توسط کارکنان محلی برپا شوند.
یک راهحل مبتنی بر SD-WAN چه قابلیتهایی ارائه میکند؟
-
- شرکتهای فعال در زمینه ارائه راهحلهای SD-WAN قابلیتهای مختلفی برای محصولات خود در نظر میگیرند، بااینحال یک شبکه گسترده نرمافزار محور ایدئال باید ویژگیهای زیر را ارائه کند:
- دستگاه چه به شکل مجازی یا فیزیکی باید بیش از یک منبع WAN را پشتیبانی کند.
- SD-WAN باید بتواند از تمامی منابع شبکه گسترده به شکل همزمان استفاده کند.
- باید دارای راهحلهای نرمافزاری باشد که نحوه استفاده از منابع WAN را مدیریت کند. به طور مثال، قادر به ارسال ترافیک HTTP برای WAN1 و ترافیک VoIP برای WAN2 باشد.
- یکروتر SD-WAN مناسب باید بتواند ترافیک ورودی را همانند ترافیک خروجی متعادل کند و تمامی منابع دریافتی WAN از تمامی دستگاههای مبتنی بر SD-WAN را تجمیع کند.
مزایای بهکارگیری شبکههای گسترده چندگانه و تجمیع پهنای باند
یکی از مهمترین خصیصههای SD-WAN توانایی مدیریت ارتباطات چندگانه مبتنی بر MPLS، شبکههای باند پهن و LTE است. توانایی بهکارگیری چند لینک WAN برای ایجاد دسترسیهای ورودی میتواند امنیت و قابلیت اطمینان را به روشهای مختلف بهبود بخشد، زیرا اگر یک ارائهدهنده خدمات ارتباطی با مشکل روبرو شد، این امکان فراهم است تا ورودیهای دیگر را به کار گرفت تا سرویسها بدون قطعی به کار خود ادامه دهند. همچنین، شبکههای خصوصی مجازی و ترافیک SSL را میتوان بهگونهای روی تمامی شبکههای گسترده توزیع کرد تا سرویسها با حداکثر سرعت ممکن به دست کارمندان سازمان برسد و حتی کاربران خارج از شبکه محلی با سرعت قابلقبولی به سرویسها دسترسی داشته باشند. از منظر امنیتی نیز ارائه ترافیک مبتنی بر L2TP VPN تضمین میکند که ارتباطات به شکل رمزگذاری شده انجام میشوند. مزیت بزرگی که L2TP VPN نسبت به نمونههای مشابه دارد این است که امکان فعالسازی آن روی تمامی محصولات متعلق به برندهای مختلف فراهم است و کاربران راه دور بر مبنای یک مکانیزم اتصال ساده قادر به برقراری ارتباط با شبکه هستند. باتوجهبه اینکه ارائهدهندگان خدمات SD-WAN از سرویسهای سامانه نام دامنه که بهوسیله DNS Proxy پیادهسازی شده استفاده میکنند در عمل به کارمندان یک سازمان اجازه نمیدهند با تعریف یک ارائهدهنده سامانه نام دامنه (DNS Provider) متفرقه سامانه نام دامنه تعریف شده توسط سازمان را دور بزنند. همچنین، برخی مسیریابهای متعادلکننده بار قابلیت مسدودکردن محتوا را دارند. زمانی که قابلیت فوق روی دیوار آتش فعال شود مانع از آن میشود تا ترافیک و پهنای باند شبکه صرف کارهای شخصی یا بیمورد شود، زیرا خطمشیهای امنیتی تعریف شده ترافیک ورودی یا خروجی بیمورد را مسدود میکند.
وجود چند اتصال WAN به لحاظ امنیتی نیز سودبخش است، به دلیل اینکه هکرها بهسادگی نمیتوانند ترافیک سازمان را مانیتور کنند، زیرا فناوری متعادلکننده بار ترافیک را روی چند خط ارتباطی ارسال میکند و به این شکل شانس هکرها در پیادهسازی موفقیتآمیز حملات را کمتر میکنند. قابلیت تجمیع (Bonding) که عملکرد سرویسها، شبکه و امنیت را بهبود میبخشد مزیت مهم دیگری نیز دارد. شبکههای خصوصی مجازی برایآنکه به دو گره اجازه دهند به شکل ایمنی به تبادل اطلاعات بپردازند از الگوریتمهای رمزگذار استفاده میکنند. حال اگر هر لینک شبکه خصوصی مجازی روی چند اتصال WAN قرار بگیرد و تبادل اطلاعات روی چند لینک انجام شود شانس شنود اطلاعات توسط هکرها کم میشود. به طور مثال، اگر چند بسته اطلاعاتی که با الگوریتم AES و بر مبنای استاندارد 256 بیتی رمزگذاری شدهاند را روی چند لینکWAN متفاوت ارسال کنید، شانس شنود اطلاعات اگر نگوییم غیرممکن کاملا ضعیف خواهد بود.
برخی از ارائهدهندگان فناوری SD-WAN قابلیتهای امنیتی بیشتری در اختیار سازمانها قرار دادهاند. به طور مثال، شرکت Peplink به مشتریان خود اجازه میدهد زمانی که قصد برقراری ارتباط شعب راه دور را دارند از فناوری Peplink SpeedFusion برای برقراری ارتباط شعب استفاده کنند. در این حالت مشتریان میتوانند به شکل پیشفرض خطمشی Deny all in / Deny all out را روی دیوار آتش تنظیم کنند. سرپرستان شبکهها در ارتباط با مکانیزمهای امنیتی SD-WAN این پرسش را مطرح میکنند که امکان بهکارگیری دیوارهای آتش نسل بعدی در تعامل با SD-WAN فراهم است؟ پاسخ مثبت است. سازمانها میتوانند دیوارهای آتش نسل بعدی را در محل مرکزی نصب کنند تا بهعنوان مسیر پیشفرض کار کند. مسیری که اطلاعات از طریق آن به اینترنت ترانزیت میشود. در این حالت تنها باید یک مسیر ورودی و خروجی کنترل شود. لازم به توضیح است که متمرکزسازی دیوار آتش در دفتر مرکزی شرکت یا در فضای ابری، فرایند نظارت بر مکانیزمهای امنیتی را سادهتر میکند.
معماری SD-WAN
SD-WAN بر مبنای یک معماری انتزاعی کار میکند. در یک معماری انتزاعی، شبکه به دو بخش صفحه کنترل و صفحه داده تقسیم میشود. صفحه کنترل یک مکان متمرکز مانند دفتر مرکزی برای سازمان است که بدون نیاز به حضور متخصصان فناوری اطلاعات در محل، امکان مدیریت آن فراهم است. معماری کلی SD-WAN شامل سه مؤلفه اصلی SD-WAN edge،SD-WAN Orchestrator و SD-WAN Controller است. البته برخی شرکتها همچون سیسکو از یک معماری چهارلایه استفاده میکنند.
SD-WAN edge: مکانی است که نقاط انتهایی شبکه در آن قرار دارند. این مکان میتواند یک شعبه، مرکز داده راه دور یا زیرساخت ابر محور باشد.
SD-WAN Orchestrator: یک مؤلفه مجازی مدیریت شبکه است که وظیفه نظارت بر ترافیک، اعمال خطمشیها و پروتکلهای تعیین شده توسط سرپرستان شبکه را عهدهدار است.
SD-WAN Controller: مدیریت متمرکزی را ارائه میکند و به سرپرستان امکان میدهد تا شبکه را توسط یک رابط متمرکز مشاهده کنند و خطمشیهای متناسب را اعمال کنند.
مولفههای یاد شده ساختار اصلی یک شبکه SD-WAN را شکل میدهند. علاوه بر مولفههای یاد شده،SD-WAN بر مبنای سه نوع معماری اصلی درونسازمانی، با قابلیت پشتیبانی از ابر یا بهکارگیری ابر بهعنوان ستون فقرات SD-WAN پیادهسازی میشود