SD-WAN مخفف عبارت Software-Defined Networking in a wide area network به معنی لغوی شبکه نرم افزار محور در شبکه گسترده می باشد. برخلاف SD-WAN ،WAN سرعت و امنیت شبکه را افزایش و در عین حال هزینه و پیچدگی ها را کاهش می دهد.
سازمانهای بزرگ با چندین دفتر در نقاط مختلف مشتری اصلی SD-WAN میباشند چراکه SD-WAN میتواند مدیریت دفاتر شعب آنها را تسهیل کند. شرکتهای کوچکتر نیز میتوانند با بهرهمندی از SD-WAN از انواع مختلف اتصال WAN استفاده کنند. بطور مثال، بجای وابستگی به خطوط گران قیمت MPLS، سازمانها میتوانند از اتصالات ارزانتر اینترنت استفاده کنند.
جایگزین کردن اتصالات ثابت و گران قیمت MPLS و همچنین روترهای لبهی شبکه با سیستمی که میتواند اتصالات و عملکرد برنامههای کاربردی را مدیریت و بهینهسازی کند، به میلیونها سازمان کمک کرده تا بتوانند یک استراتژی WAN قویتر و سازگارتر را پیاده سازی کنند. راهکار SD-WAN در ابتدا به عنوان یک راهکار مقرون به صرفه و انعطافپذیر جهت اتصال شعب سازمانها به Cloud و شبکه Core طراحی شده بود و این اصلیترین دلیل پیادهسازی SD-WAN است.
اهداف پیادهسازی SD-WAN
- فراهم سازی دسترسی یکپارچه و قابل اطمینان به هر منبعی از هر تجهیزاتی در هر مکانی.
- مطمئنسازی تجربه کاربری از طریق اتصالات و برنامههای کاربردی بهینه شده.
- محافظت از تمامی برنامههای کاربردی، بارهای کاری و معاملات با استفاده از راهکارهای امنیتی سازمانی که برای رمزگذاری و بررسی سریع تجاری طراحی شدهاند.
- هر چیزی باید با تغییرات شبکه، الزامات تحول دیجیتال و تهدیدات سایبری، به عنوان یک سیستم واحد سازگار باشد.
ویژگی های راهکار SD-WAN
امنیت: کمبود امنیت یکپارچه در بسیاری از راهکارهای SD-WAN بدان معناست که تیم های IT مجبورند یک راهکار امنیتی Overlay ایجاد کنند تا با جلوگیری از اتصال MPLS از دست دادن Stack قدیمی امنیتی فراهم شده در Head End را جبران کنند، از آنجاییکه با عملکردهای شبکهای و اتصالی SD-WAN یکپارچه نیست، نمیتواند با تغییرات مداوم مورد نیاز بسیاری از اتصالات پویا سازگار شود. امنیت نه تنها به تنگنایی برای عملکرد بدل شده بلکه تبدیل به مانعی برای انعطافپذیری نیز شده است. یک راهکار امنیتی SD-WAN اگر منعطف است باید بتواند امنیتی مداوم فراهم کند که بطور کامل با تجهیزات On-Premise یکپارچه است. مانند سرویس امنیتی Cloud-Native که به عنوان بخشی از راهکار SASE فعالیت میکند.
مقیاسپذیری: هر محیط Remote به یک اندازه نیست. شعب سازمان ممکن است متفاوت باشند، یک SD-WAN باید نیازهای هر سازمانی با هر اندازهای را فراهم کند و از هزاران موقعیت گوناگون پشتیبانی نماید. اما ملاحضات جدید مانند نیروی کار از راه دور بدان معناست که برخی Super Userها میتوانند از قابلیتهای عملی و اجرایی که اتصالات قدیمی VPN نمی توانستند فراهم کنند، بهره مند شوند. کاربر باید به دنبال نوعی از راهکار SD-WAN باشد که با انواعی از Footprintها همراه است، مانند LTE/5G Built In که درصورت ناپایداری یا نامطمئن شدن اتصالات Local، بتوانند Failoverهای سریع را فعال کند. چنین اطلاعاتی این اطمینان خاطر را به ما میدهند که میتوان از هر چیزی پشتیبانی کرد؛ از بزرگترین شعب سازمان گرفته تا هزاران کاربر desktop Remote.
Multi-Cloud: واقعیت این است که WANها علاوه بر شعب سازمان در بسیاری مکان های دیگر وجود دارند. یک راهکار مجازی مانند SD-WAN میتواند اتصالی ایمن و قابل اطمینان بین Public Cloud، Private Cloud و بین هر نوع Cloud, دیتاسنتر برقرار کند. این امر نیازمند نوعی از راهکارهای SD-WAN است که میتوانند بطور Native درهرگونه محیط Public Cloud یا Private Cloud اجرا شوند. تمامی این پیادهسازیهای SD-WAN نیازمند پیکربندی و هدایت با استفاده از یک سیستم مدیریتی مرکزی هستند، که تمامی عملکردهای شبکهای، اتصالات و امنیت را به یک کنسول، یکپارچه میسازد.
SD–Branch: بسیاری از شعب سازمان دارای یک LAN که نیازمند محافظت باشد نیز هستند و از دست دادن اتصال مداوم آن به Head End به معنای آن است که اکنون آنها مجبورند تا به برخی پلتفرم های امنیتی Local متکی شوند. این به معنای گرفتاری IT برای Rollout، پیکربندی، مانیتور و مدیریت کردن است. سازمانها باید به دنبال نوعی از راهکار SD-WAN باشند که شامل اتصالات یکپارچه، امنیت برنامه کاربردی و عملکرد امنیتی باشد که بتواند به سادگی در LAN گسترش یابد. SD-Branch این قابلیت را به سازمانها میدهد تا از چیزهایی مانند نقاط دسترسی سیمی و بیسیم محافظت کنند، کنترل دسترسی به شبکه را راه اندازی و حفظ کنند و از دادهها و بارهای کاری که از تجهیزات جانبی عبور میکنند مانند اتصال SD-WAN محافظت کنند.
Low-Touch: تمامی این موارد باید با یکپارچکی تمام و حداقل دخالت انسانی انجام شوند. پیاده سازی باید سریع باشد، تعاملات بین سیستمهای SD-WAN باید به سادگی پیکربندی و مدیریت شوند، SLAها و سایرpolicyها باید بطور جهانی بکار گرفته شوند و یک policy امنیتی واحد باید بطور پویا و خودکار با تغییرات ترافیک، اتصالات، برنامههای کاربردی و بارهای کاری سازگار شود.
در نتیجه کاربر باید به دنبال راهکاری باشد که بطور ارگانیک پیاده سازی شده و از طریق یک فایروال نسل بعدی کاملا یکپارچه و یا راهکار امنیتی Cloud-Delivered که مبتنی بر SASE-Based باشد، مسیر یابی پیشرفته، قابلیتهای Self-Healing SD-WAN، هدایت شهودی و قابلیتهای امنیتی منعطف را یکپارچه سازد. همچنین باید این قابلیت را داشته باشد تا در تمامی طیف Home، Branch، Campus و محیطهای شبکه Multi-Cloud پیاده سازی شود. این رویکرد به سازمان کمک میکند تا به بسیاری از مزایا پی ببرند.
Self-Healing: اگر یک راهکار SD-WAN هر بار که دچار مشکل اتصال اینترنت میشود باید دوباره پیکربندی شود و نیازمند اقدامات دستی است. سازمانها به نوعی به راهکار SD-WAN نیاز دارند که بطور خودکار خللهای اینترنتی را از بین میبرد تا عملکرد برخی برنامههای کاربردی استثنایی را بر قرار نگه دارد. عملکرد Self-Healing باید کاراهایی مانند سوئیچ به یک مدل ترابری جایگزین به هنگام قطعی یا اختلال در اتصال یا policyها و پیکربندی های امنیتی را به صورت پویا با هر تغییر اتصال، حتی هنگام سوئیچ شدن به یک مدل ترابری دیگر را شامل شود.
تجربه کاربری بهتر: به منظور حفظ تجربه بهینه کاربری، یک سیستم SD-WAN نیازمند شناخت و رفع اختلالات WAN در تمامی لبه های شبکه با استفاده از قابلیتهای Self-Healing SD-WAN جامع است. همچنین این سیستم نیازمند بکارگیری از ASICهای Purpose-Built برای عملکرد بهتر است. اضافه کردن هوش مصنوعی و یادگیری برنامه کاربردی ML-Powered، قابلیت دید مضاعف و کنترلی فراهم میکند تا از بهترین عملکرد ممکن برنامه کاربردی اطمینان حاصل کرد، بدون آنکه امنیت تحت خطر قرار گیرد.
کاهش مخارج و پیچیدگی: با همگرا ساختن شبکه و امنیت به یک راهکار ایمن SD-WAN و پس از آن اضافه کردن قابلیت هدایت متمرکز، یک سازمان میتواند تعداد Point Productهایی که نیازمند مدیریت هستند را کاهش دهد. این امر کمک میکند تا به هنگام دریافت بهترین هزینه مالکیت ممکن (TCO) پیچیدگی عملیاتی را تحت کنترل داشته باشند.
معماری راهکار Cisco SD-WAN
- لایه Data Plane: که شامل تجهیزات فیزیکی و مجازی همچون روترها و سوئیچ های در شبکه های WAN می باشد.
- لایه Control Plane: که شامل SDN Controller(ها)ست که می توانند به صورت ماشین های مجازی (VM) یا Containerها ارائه شوند.
- لایه Management Plane: که در واقع شامل یک Network Management Server یا به اختصار NMS است. سروری که وظیفه مدیریت، نظارت، پایش و… را در زیرساخت مبتنی بر SDN دارد.
- لایه Orchestration Plane: که بطور کلی وظیفه هماهنگی و اتوماسیون زیرساخت SD-WAN را برعهده دارد.