Сегодня практически ни одна IT-конференция не обходится без обсуждений технологии SD-WAN. Ее предлагают использовать для того, чтобы управлять абсолютно разными вещами, от сети планеты до холодильников кофеен сетевого формата. Де-факто же однозначного отношения к SD-WAN пока не выработано. Казалось бы, технология уже отпраздновала десятилетие, а многие инженеры до сих пор задаются вопросом, не очередная ли это маркетинговая уловка.
Мы постараемся разобраться, что же такое SD-WAN, зачем и кому он нужен, а также почему ведущие исследовательские агентства мира предсказывают скорый повсеместный переход к сетям SD-WAN.
Что такое SD-WAN?
Если объяснять, не углубляясь в технические детали, SD-WAN — это решение для построения распределенных сетей, которое состоит из маршрутизаторов и интеллектуальной системы управления (SD-WAN контроллера и оркестратора). Маршрутизаторы устанавливаются непосредственно в филиалах компании, а система управления где-то в центральной точке — ЦОДе или головном офисе. С точки зрения технологии все компоненты SD-WAN могут быть сколь угодно разнесены друг от друга, главное, чтобы между ними была связность, например, через каналы Интернета. С помощью системы управления можно построить защищенные туннели между всеми филиалами, настроить политики безопасности и передачи данных по этим туннелям, а также централизованно контролировать работу всей сети.
В чем принципиальное отличие SD-WAN от классических VPN-технологий?
В традиционных сетях каждый маршрутизатор является самостоятельной точкой принятия решения. Конечно, его настраивает сетевой администратор. Но в момент передачи трафика маршрутизатор руководствуется только своей конфигурацией и данными, которые получает непосредственно от соседних с ним маршрутизаторов. Это приводит к тому, что маршрутизатор в одном филиале не представляет, что происходит в других филиалах и стоит ли отправлять данные по тому или иному каналу связи. Это зачастую приводит к неоптимальной маршрутизации, передаче пакетов по каналам с плохим качеством, а иногда и к потере данных. Для конечных пользователей решения каждого маршрутизатора зачастую выливаются в проблемы со связью, медленную работу приложений или недоступность каких-то корпоративных ресурсов.
Централизованная система управления решает эти проблемы. Контроллер SD-WAN в реальном времени изучает ситуацию сразу во всей сети и автоматически регулирует конфигурации маршрутизаторов. Именно с помощью контроллера SD-WAN можно определить оптимальный маршрут передачи трафика каждого конкретного приложения. Например, голосовые и видеозвонки, а также данные CRM-систем можно пустить по наиболее быстрым и надежным маршрутам, а вот не относящийся к работе просмотр сериалов или социальных сетей, наоборот, — по маршрутам, качество которых хуже.
Может ли SD-WAN увеличить безопасность сети?
Сетевая безопасность — один из неотъемлемых атрибутов технологии SD-WAN. Многие производители даже называют свои продукты Secure SD-WAN, чтобы подчеркнуть интегрированность средств безопасности, хотя это скорее маркетинговая уловка, потому что функциональный набор у всех практически одинаковый.
Маршрутизатор SD-WAN сам по себе уже небольшой межсетевой экран, который позволяет в реальном времени проводить инспекцию трафика, распознавать используемые приложения и применять политики безопасности и маршрутизации в зависимости от типа приложения. Контроллер SD-WAN же при этом позволяет поддерживать целостность политик безопасности для всей сети, максимально быстро вводить новые правила передачи трафика, а также показывать статистику загрузки и изменения качественных параметров каналов связи в реальном времени.
Так, например, если сериалов и социальных сетей из нашего предыдущего пункта станет слишком много, администратор сможет запретить их для всех филиалов компании или конкретных пользователей всего за несколько минут.
Позволит ли SD-WAN отказаться от MPLS-каналов?
Основным преимуществом централизованных контроллеров является возможность в реальном времени измерять качество всех каналов связи и направлять трафик приложений по маршрутам с наименьшей задержкой или с минимальными потерями пакетов. В случае выявления драматического ухудшения качества канала связи контроллер SD-WAN может автоматически включить на маршрутизаторе дублирование пакетов или избыточное кодирование информации для сохранения данных критически важных для бизнеса приложений.
Эти функции потенциально позволяют заказчикам отказаться от аренды MPLS-каналов и перейти на менее дорогие каналы Интернета, в том числе LTE. К тому же умные SD-WAN-маршрутизаторы позволяют использовать одновременно несколько каналов связи, поэтому вместо MPLS-канала можно использовать несколько LTE-подключений и агрегировать их пропускную способность.
Заменит ли SD-WAN сетевого инженера?
Говорить о сокращении инженеров за счет внедрения сетевой автоматизации преждевременно, ведь если не каждым маршрутизатором, то контроллером SD-WAN должен управлять профессионал. При этом количество рутинных операций и простых человеческих ошибок появление контроллера SD-WAN точно поможет сократить. Кроме того, внедрение SD-WAN позволит ускорить подключение нового филиала и минимизировать командировочные расходы. Каждый маршрутизатор SD-WAN поддерживает функцию автоматического подключения к контроллеру и получения конфигурации (Zero-Touch Provisioning). Для настройки устройства в сети SD-WAN достаточно любым способом подключить его к каналам связи, например установить SIM-карту. Все контрольные соединения защищены шифрованием, а для защиты от подключения несанкционированных устройств поддерживается двухэтапная верификация.
Как связаны между собой SD-WAN и SASE?
Термин SASE (Secure Access Service Edge) был предложен аналитическим агентством Gartner в 2019 году и в широком смысле обозначает комплексный подход к обеспечению безопасного подключения к сети. В состав решения SASE входит ряд продуктов, и SD-WAN является одним из них. В минимальном внедрении SASE состоит из межсетевых экранов нового поколения (NGFW), облачных межсетевых экранов (FWaaS) и решения для обеспечения безопасности интернет-шлюзов (SWG), а SD-WAN представляет транспортную технологию для гранулярной передачи трафика между этими системами. В более широком варианте SASE также включает в себя брокера безопасного подключения к облачным средам (CASB) и сетевого агента нулевого доверия (ZTNA) для конечных устройств, в том числе для подключения удаленных сотрудников.
Стоит ли переводить свою сеть на SD-WAN уже сегодня?
Универсального решения для всех корпоративных сетей не существует. Каждая сеть индивидуальна по-своему, хотя многим из нас нравится именно о своей сети говорить «типовая». Но, безусловно, технология SD-WAN обладает рядом преимуществ, которые будут востребованы в большинстве современных сетей. В их числе
- централизованное управление всеми маршрутизаторами в сети;
- контроль качества каналов в реальном времени;
- маршрутизация трафика с учетом требований приложений;
- гибкая балансировка нагрузки по всем каналам связи;
- поддержка целостности политик безопасности для всей сети;
- автоматизация настройки маршрутизаторов.
«Лаборатория Касперского» недавно анонсировала выход нового продукта Kaspersky SD-WAN. Внедрение этого решения в корпоративной сети позволит не только получить все инновационные возможности технологии, но и успешно перейти на отечественное оборудование, так как в качестве аппаратной платформы маршрутизатора SD-WAN используются устройства российских производителей, внесенные в реестры МЦТ и ТОРП.