در سال‌های اخیر رایانش ابری به یکی از فناوری‌های مهم دنیای شبکه تبدیل شده است. سازمان‌ها برای‌آنکه بتوانند از مزایای بالقوه رایانش ابری استفاده کنند و مدل‌های نوین را جایگزین مدل‌های سنتی کنند مجبور هستند با زیرساخت‌های قدیمی شبکه خداحافظی کنند…

به همین دلیل است که تقاضا برای دسترسی به شبکه‌های پایدار روزبه‌روز بیشتر می‌شود. SD-WAN یکی از بهترین گزینه‌ها در این زمینه است. شبکه نرم‌افزار –

محور در شبکه گسترده (SD-WAN) سرنام Software-Defined Networking in a Wide Area Network که برای سادگی در فهم شبکه گسترده

نرم‌افزار محور ترجمه می‌شود برخلاف شبکه‌‌های سنتی سرعت و امنیت شبکه را افزایش می‌دهد و درعین‌حال هزینه‌ها و پیچیدگی‌ها را کاهش می‌دهد، البته به

شرطی که درست پیاده‌سازی شود.

فناوری SD-WAN چیست؟

SD-WAN نوعی معماری شبکه گسترده مجازی است که برای غلبه بر مشکلات رایج شبکه‌های گسترده استفاده می‌شود. در معماری فوق سرپرستان شبکه

می‌توانند از راه دور شبکه گسترده نرم‌افزار محور را مدیریت یا گسترش دهند. این مفهوم شباهت زیادی به نحوه پیاده‌سازی شبکه نرم‌افزار محور و به‌کارگیری

فناوری‌های مجازی‌سازی باهدف بهبود مدیریت و عملکرد مرکز داده دارد. برخی کارشناسان حوزه ارتباطات SD-WAN را معجزه رایانش ابری توصیف می‌کنند، زیرا

به شرکت‌ها اجازه می‌دهد به بهترین شکل از شبکه‌های گسترده استفاده کنند و SD-WAN ‌را به طور کامل یا به شکل جزئی جایگزین فناوری‌های ارتباطی

گران‌قیمتی همچون MPLS کنند. شبکه‌های گسترده نرم‌افزار به شرکت‌ها امکان می‌دهند به شبکه‌های کامپیوتری خود وسعت بخشیده، شعب مستقر در مناطق

مختلف را به مراکز داده و به یکدیگر متصل کنند و برنامه‌ها و خدمات موردنیاز برای انجام فعالیت‌های تجاری را به بهترین شکل پیاده‌سازی کنند. باتوجه‌به

محدودیت‌های فیزیکی موجود همچون پراکندگی شعب و دور بودن آن‌ها از یکدیگر به لحاظ موقعیت مکانی و نیاز به ادغام خدمات ابر محور ارائه شده توسط

شرکت‌های مختلف که اغلب در کشورهای مختلف قرار دارند، پیاده‌سازی شبکه‌های گسترده با چالش‌های عملیاتی زیادی روبرو است. از آن جمله می‌توان به ازدحام،

اخیر در دریافت بسته‌ها، ازدست‌رفتن بسته‌ها و حتی عدم دسترسی به خدمات اشاره کرد. همچنین، برنامه‌های مدرنی نظیر تماس‌های VoIP، کنفرانس‌های

ویدئویی، استریم‌های چندرسانه‌ای و برنامه‌های مجازی به داده‌های بلادرنگ نیاز دارند. از سویی دیگر، با شیوع ویروس کرونا شرکت‌ها و کاربران بیشتر از گذشته به

پهنای باند نیاز دارند، به‌ویژه زمانی که قرار است و یدی و کنفرانس‌ها باکیفیت بالا استریم شوند. برای حل این مشکلات سازمان‌ها مجبور هستند قابلیت‌های شبکه‌های

گسترده را ارتقا دهند؛ اما این کار باعث می‌شود تا مدیریت پیچیده‌تر، عیب‌یابی سخت‌تر و هزینه‌ها افزایش پیدا کنند. فناوریSD-WAN برای غلبه بر این مشکلات

پدید آمد. سازمان‌ها می‌توانند با جایگزینی مسیریاب‌های دفاتر شعب (branch routers) با نمونه‌های مجازی که می‌توان از طریق خط‌مشی‌های سطح برنامه آن‌ها را

کنترل کرد و یک شبکه پوششی (شبکه مجازی) ایجاد کرد، وابستگی به لینک‌ها و پهنای باند تجاری را محدود کنند و تنها برای مصارف خاص از پهنای باند تجاری

که هزینه‌بر است استفاده کنند. در این سناریو پرسنل مستقر در شعب قادر هستند به‌سادگی شبکه را تنظیم کنند، زیرا بخش اعظمی از کار توسط تیم‌های فناوری

اطلاعات در شعبه مرکزی انجام می‌شود. به طور مثال، شرکت MEF Forum نوع خاصی از SD-WAN را پیاده‌سازی کرده که ترکیبی از SD-WAN،SD-

WAN Controller و SD-WAN Orchestrator است. SD-WAN Edge یک عملکرد شبکه فیزیکی یا مجازی مستقر در شعبه، دفتر مرکزی، ناحیه یا مرکز

داده موردنظر است که زیرساخت‌های ابری خصوصی یا عمومی را به یکدیگر متصل می‌کند. این شرکت موفق شد اولین استاندارد خدمات SD-WAN  به نام MEF

70 را ارائه کند که ویژگی‌های اساسی یک سرویسSD-WAN به همراه الزامات و خدمات موردنیاز را ارائه می‌کند. SD-WAN Orchestrator که به‌طور معمول

شامل ویژگی SD-WAN Controller است برای تنظیم خط‌مشی‌های متمرکز در ارتباط با آدرس‌های آی‌پی استفاده می‌شوند. آدرس‌های آی‌پی برای تعیین

کاربران برنامه‌ها یا گروه‌بندی برنامه‌های مرتبط با یکدیگر استفاده می‌شوند. این گروه‌بندی بر مبنای برخی ویژگی‌های رایج انجام می‌شود. به طور مثال، برنامه‌های

ویدئوکنفرانس در قالب Application Flow Group در MEF 70 طبقه‌بندی می‌شوند. به‌ازای هر طبقه‌بندی انجام شده،SD-WAN Edge بسته‌های آی‌پی

وارد شده را در SD-WAN UNI طبقه‌بندی می‌کند و بر مبنای پروتکل‌های لایه 2 تا 7 مدل مرجعOSI مشخص می‌کند که بسته‌های آی‌پی به چه گروهی

اختصاص دارند. در ادامه بر مبنای خط‌مشی‌های تعیین شده، بسته‌ها را برای برنامه کاربردی ارسال کرده یا آن‌ها را مسدود می‌کند. فرایند ارسال بسته‌های آی‌پی برای

برنامه‌ها یا کاربران بر مبنای مسیرهای در دسترس که سرعت ایده‌آلی دارند انجام می‌شود. رویکرد فوق تضمین می‌کند که عملکرد خدمات ارائه شده توسط SD-

WAN منطبق با مفاد مندرج در توافق‌نامه سطح خدمات است. در یک شبکه گسترده نرم‌افزار محور کنترل ارتباطات شبکه، روندهای کار برنامه‌های کاربردی،

خط‌مشی‌ها، سازوکارهای امنیتی و مدیریت عمومی از سخت‌افزارهای زیرساختی جدا می‌شود. در این حالت سرپرست شبکه مجبور نیست برای انجام وظایف خود به

محل استقرار تجهیزات مراجعه کند، زیرا تمامی فرایندهای کاری از طریق یک کنسول متمرکز مدیریت می‌شود. در روش سنتی شبکه‌سازی شعب مختلف، تجهیزات

به شکل فیزیکی در محل نصب، راه‌اندازی، پیکربندی و آزمایش می‌شوند. در انتها مهندس شبکه یکبار دیگر همه چیز را بررسی می‌کند تا مطمئن شود مشکل خاصی

وجود ندارد. این روش برای شرکت‌هایی که شعب محدودی دارند عملکرد قابل‌قبولی دارد، اما شرکت‌هایی که ده‌ها یا صد‌ها شعب دارند که در نواحی جغرافیایی

مختلف مستقر شده‌اند باید وقت و زمان زیادی را صرف آماده‌سازی شبکه‌های سنتی کنند. راهکا‌ری که SD-WAN برای غلبه بر این مشکلات ارائه می‌کند پیکربندی

خودکار و غیردستی شبکه‌ها است که تحت عنوانZero-touch provisioning  از آن نام‌برده می‌شود. در این حالت تنها چیزی که دستگاه به آن نیاز دارد یک

اتصال به اینترنت است تا مطابق با الگوی از پیش تعریف شده فرایند اتصال به سرویس ابر محور انجام شود. قابلیت آماده‌سازی خودکار و غیر دستی (ZTD) فرایند

کشف و تنظیم تجهیزات جدید در شبکه گسترده نرم‌افزار محور را ممکن می‌کند. این کار، فرایند استقرار شبکه گسترده نرم‌افزار محور در شعبه یا در محل‌ دفتر خدمات

ابری را تسریع و پربازده‌تر می‌کند. سادگی و سهولت استفاده این امکان را فراهم می‌آورد تا چند شعبه را به شعبه مرکزی متصل کرد یا محیط بزرگی همچون یک

دانشگاه را با استفاده از SD-WAN پوشش داد، درعین‌حال اطمینان حاصل کرد که برنامه‌ها در شرایط بهینه کار می‌کنند و امکان کنترل و مدیریت آن‌ها از طریق

یک رابط متمرکز فراهم است. برعکس شبکه‌های گسترده سنتی، شبکه‌های گسترده نرم‌افزار محور چابکی را افزایش و هزینه‌ها را کاهش می‌دهند. شرکت تحقیقاتی

گارتنر می‌گوید، یک شبکه SD-WAN کارآمد باید چهار ویژگی زیر را داشته باشد:

•  SD-WAN باید بتواند از اتصالات مختلف پشتیبانی کند. این اتصالات می‌توانند MPLS، شبکه فیبر نوری (Last Mile Fiber Optic Network) یا شبکه سلولی پر سرعت 4G ،LTE یا 5 باشند.

•  SD-WAN برای‌آنکه بتواند بار کاری را به‌درستی به اشتراک بگذارد و انعطاف‌پذیری خوبی در شبکه به وجود آورد باید توانایی انتخاب پویای مسیر را داشته باشد. مسیرگزینی پویا یعنی شبکه گسترده نرم‌افزار محور، ترافیک را به اتصالات خاصی از شبکه ارسال کند. اتصالاتی که الزامات خط‌مشی‌های جاری شبکه از

جمله کیفیت خدمات، کیفیت تجربه، اولویت‌بندی ترافیک، خط‌مشی‌های امنیتی و سناریوهای جبران نقص را شامل شود.

•  SD-WAN باید یک رابط کاربری ساده ارائه کند که امکان پیکربندی و مدیریت آن با سهولت انجام شود.
•  SD-WAN باید بتواند از شبکه‌های خصوصی مجازی و سرویس‌های ثالث شبیه به کنترل‌کننده‌های بهینه‌ساز شبکه گسترده، دیوارهای آتش و دروازه های‌وب پشتیبانی کند.

مزایای به‌کارگیری SD-WAN چیست؟

در چند سال گذشته شبکه‌های گسترده نرم‌افزار محور قابلیت‌های ذاتی خود را به اثبات رساندند، اما پس از شیوع ویروس کرو‌نا و لزوم فاصله‌گذاری اجتماعی که

دورکاری کارمندان یک سازمان را به همراه داشت، اهمیت پیاده‌سازی هرچه سریع‌تر SD-WAN در سازمان‌های مختلف دوچندان شد. SD-WAN بیشتر به

دلیل مزایای زیر موردتوجه سازمان‌های بزرگ و حتی کسب‌وکارهای کوچک قرار گرفته است:

• • ارائه خدمات نرم‌افزاری، نظارت و رفع مشکلات در شعب بدون ازدست‌دادن زمان.
  • اولویت‌بندی و تخصیص ترافیک به شبکه که بهبود عملکرد نرم‌افزارها و کارمندان را به همراه دارد.
  • جایگزینی نرم‌افزارهای هوشمند به‌جای سخت‌افزارهای گران‌قیمت باهدف صرفه‌جویی در هزینه‌ها.
  • مدیریت متمرکز باهدف مشاهده جزئیات مختلف که به سرپرستان شبکه کمک می‌کند با سهولت بیشتری شبکه را مدیریت کنند و ترافیک را متناسب میزان مصرف برنامه‌های کاربردی یا دستگاه‌ها به آن تخصیص دهند.
  • باتوجه‌به این‌که شبکه‌های گسترده نرم‌افزار محور را می‌توان روی سخت‌افزار COTS سرنام Commercial Off-The-Shelf اجرا کرد و از اتصالات خصوصی و عمومی برای هدایت ترافیک استفاده کرد، گزینه‌های بیشتری در انتخاب نوع اتصالات و فروشنده‌ها در دسترس است.
  • خودترمیمی و افزونگی جبران نقص سریع، زمانی که خاموشی بر اتصالات شبکه گسترده تأثیر می‌گذارد.
  • امنیت یکپارچه با کمک راهکارهای برتر تأمین‌کنندگان ثالث از جمله آن‌هایی که در حوزه امنیت نرم‌افزار در قالب خدمات فعال هستند.
  • استقرار سریع که سبب می‌شود هنگام آنلاین شدن برنامه‌ها در شعب دفاتر یا تغییر پیکربندی‌ها کسب‌وکار چابک باشد. آماده‌سازی خودکار بدون دخالت دست اجازه می‌دهد تا سایت‌ها به‌جای ساعت‌ها یا روزها، ظرف چند دقیقه توسط کارکنان محلی برپا شوند.

‌یک راه‌حل مبتنی بر SD-WAN چه قابلیت‌هایی ارائه می‌کند؟

• • شرکت‌های فعال در زمینه ارائه راه‌حل‌های SD-WAN قابلیت‌های مختلفی برای محصولات خود در نظر می‌گیرند، بااین‌حال یک شبکه گسترده نرم‌افزار محور ایدئال باید ویژگی‌های زیر را ارائه کند:
  • دستگاه چه به شکل مجازی یا فیزیکی باید بیش از یک منبع WAN را پشتیبانی کند.
  •  SD-WAN باید بتواند از تمامی منابع شبکه گسترده به شکل هم‌زمان استفاده کند.
  • باید دارای راه‌حل‌های نرم‌افزاری باشد که نحوه استفاده از منابع WAN را مدیریت کند. به طور مثال، قادر به ارسال ترافیک HTTP برای WAN1 و ترافیک VoIP برای WAN2 باشد.
  • یک‌روتر SD-WAN مناسب باید بتواند ترافیک ورودی را همانند ترافیک خروجی متعادل‌ کند و تمامی منابع دریافتی WAN از تمامی دستگاه‌های مبتنی بر SD-WAN را تجمیع کند.

مزایای به‌کارگیری شبکه‌های گسترده چندگانه و تجمیع پهنای باند

یکی از مهم‌ترین خصیصه‌های SD-WAN توانایی مدیریت ارتباطات چندگانه مبتنی بر MPLS، شبکه‌های باند پهن و LTE است. توانایی به‌کارگیری چند لینک WAN برای ایجاد دسترسی‌های ورودی می‌تواند امنیت و قابلیت اطمینان را به روش‌های مختلف بهبود بخشد، زیرا اگر یک ارائه‌دهنده خدمات ارتباطی با مشکل روبرو شد، این امکان فراهم است تا ورودی‌های دیگر را به کار گرفت تا سرویس‌ها بدون قطعی به کار خود ادامه‌ دهند. همچنین، شبکه‌های خصوصی مجازی و ترافیک SSL را می‌توان به‌گونه‌ای روی تمامی شبکه‌های گسترده توزیع کرد تا سرویس‌ها با حداکثر سرعت ممکن به دست کارمندان سازمان برسد و حتی کاربران خارج از شبکه محلی با سرعت قابل‌قبولی به سرویس‌ها دسترسی داشته باشند. از منظر امنیتی نیز ارائه ترافیک مبتنی بر L2TP VPN تضمین می‌کند که ارتباطات به شکل رمزگذاری شده انجام می‌شوند. مزیت بزرگی که L2TP VPN نسبت به نمونه‌های مشابه دارد این است که امکان فعال‌سازی آن روی تمامی محصولات متعلق به برندهای مختلف فراهم است و کاربران راه دور بر مبنای یک مکانیزم اتصال ساده قادر به برقراری ارتباط با شبکه هستند. باتوجه‌به این‌که ارائه‌دهندگان خدمات SD-WAN از سرویس‌های سامانه نام دامنه که به‌وسیله DNS Proxy پیاده‌سازی شده استفاده می‌کنند در عمل به کارمندان یک سازمان اجازه نمی‌دهند با تعریف یک ارائه‌دهنده سامانه نام دامنه (DNS Provider) متفرقه سامانه نام دامنه تعریف شده توسط سازمان را دور بزنند. همچنین، برخی مسیریاب‌های متعادل‌کننده بار قابلیت مسدودکردن محتوا را دارند. زمانی که قابلیت فوق روی دیوار آتش فعال شود مانع از آن می‌شود تا ترافیک و پهنای باند شبکه صرف کارهای شخصی یا بی‌مورد شود، زیرا خط‌مشی‌های امنیتی تعریف شده ترافیک ورودی یا خروجی بی‌مورد را مسدود می‌کند.

وجود چند اتصال WAN به لحاظ امنیتی نیز سودبخش است، به دلیل این‌که هکرها به‌سادگی نمی‌توانند ترافیک سازمان را مانیتور کنند، زیرا فناوری متعادل‌کننده بار ترافیک را روی چند خط ارتباطی ارسال می‌کند و به این شکل شانس هکرها در پیاده‌سازی موفقیت‌آمیز حملات را کمتر می‌کنند. قابلیت تجمیع (Bonding) که عملکرد سرویس‌ها، شبکه و امنیت را بهبود می‌بخشد مزیت مهم دیگری نیز دارد. شبکه‌های خصوصی مجازی برای‌آنکه به دو گره اجازه دهند به شکل ایمنی به تبادل اطلاعات بپردازند از الگوریتم‌های رمزگذار استفاده می‌کنند. حال اگر هر لینک شبکه خصوصی مجازی روی چند اتصال WAN قرار بگیرد و تبادل اطلاعات روی چند لینک انجام شود شانس شنود اطلاعات توسط هکرها کم می‌شود. به طور مثال، اگر چند بسته اطلاعاتی که با الگوریتم AES و بر مبنای استاندارد 256 بیتی رمزگذاری شده‌اند را روی چند لینکWAN متفاوت ارسال کنید، شانس شنود اطلاعات اگر نگوییم غیرممکن کاملا ضعیف خواهد بود.

برخی از ارائه‌دهندگان فناوری SD-WAN قابلیت‌های امنیتی بیشتری در اختیار سازمان‌ها قرار داده‌اند. به طور مثال، شرکت Peplink به مشتریان خود اجازه می‌دهد زمانی که قصد برقراری ارتباط شعب راه دور را دارند از فناوری Peplink SpeedFusion برای برقراری ارتباط شعب استفاده کنند. در این حالت مشتریان می‌توانند به شکل پیش‌فرض خط‌مشی Deny all in / Deny all out را روی دیوار آتش تنظیم کنند. سرپرستان شبکه‌ها در ارتباط با مکانیزم‌های امنیتی SD-WAN این پرسش را مطرح می‌کنند که امکان به‌کارگیری دیوارهای آتش نسل بعدی در تعامل با SD-WAN فراهم است؟ پاسخ مثبت است. سازمان‌ها می‌توانند دیوارهای آتش نسل بعدی را در محل مرکزی نصب کنند تا به‌عنوان مسیر پیش‌فرض کار کند. مسیری که اطلاعات از طریق آن به اینترنت ترانزیت می‌شود. در این حالت تنها باید یک مسیر ورودی و خروجی کنترل شود. لازم به توضیح است که متمرکزسازی دیوار آتش در دفتر مرکزی شرکت یا در فضای ابری، فرایند نظارت بر مکانیزم‌های امنیتی را ساده‌تر می‌کند.

معماری SD-WAN

SD-WAN بر مبنای یک معماری انتزاعی کار می‌کند. در یک معماری انتزاعی، شبکه به دو بخش صفحه کنترل و صفحه داده تقسیم می‌شود. صفحه کنترل یک مکان متمرکز مانند دفتر مرکزی برای سازمان است که بدون نیاز به حضور متخصصان فناوری اطلاعات در محل، امکان مدیریت آن فراهم است. معماری کلی SD-WAN شامل سه مؤلفه اصلی SD-WAN edge،SD-WAN Orchestrator و SD-WAN Controller است. البته برخی شرکت‌ها همچون سیسکو از یک معماری چهارلایه استفاده می‌کنند.

SD-WAN edge: مکانی است که نقاط انتهایی شبکه در آن قرار دارند. این مکان می‌تواند یک شعبه، مرکز داده راه دور یا زیرساخت ابر محور باشد.

SD-WAN Orchestrator: یک مؤلفه مجازی مدیریت شبکه است که وظیفه نظارت بر ترافیک، اعمال خط‌مشی‌ها و پروتکل‌های تعیین شده توسط سرپرستان شبکه را عهده‌دار است.

SD-WAN Controller: مدیریت متمرکزی را ارائه می‌کند و به سرپرستان امکان می‌دهد تا شبکه را توسط یک رابط متمرکز مشاهده کنند و خط‌مشی‌های متناسب را اعمال کنند.

مولفه‌های یاد شده ساختار اصلی یک شبکه SD-WAN را شکل می‌دهند. علاوه بر مولفه‌های یاد شده،SD-WAN بر مبنای سه نوع معماری اصلی درون‌سازمانی، با قابلیت پشتیبانی از ابر یا به‌کارگیری ابر به‌عنوان ستون فقرات SD-WAN پیاده‌سازی می‌شود