Una rete contigua in una posizione è chiamata “rete locale“(LAN) Alcune società gestiscono più sedi e dispongono di una rete in ciascun luogo. Queste reti separate possono essere collegate insieme per formare una rete che può essere amministrata centralmente. Questo è un “rete geografica,” o PALLIDO.
Molte aziende ora utilizzano servizi cloud, che potrebbero anche essere integrati nella LAN, formando una WAN. Pertanto, ci sono molte ragioni diverse per cui gli amministratori di rete considerano la creazione di una WAN.
Non c’è molta scelta su come collegare la WAN insieme. Tali reti e risorse remote possono essere contattate su Internet e tale supporto fornisce il modo più economico e semplice per formare una WAN.
L’unico problema con Internet è quello non è sotto il controllo dell’amministratore di rete. È al di fuori dell’edificio e i cavi che lo rendono appartengono ad altre organizzazioni. Quella perdita di controllo scoraggia molte aziende dallo sfruttamento di Internet per connettersi a siti sparsi.
I vantaggi di SD-WAN
Le reti geografiche definite dal software risolvono il problema del controllo su un mezzo pubblico. Il gateway che collega la LAN a Internet applica la crittografia al traffico che passa tra i siti, offrendo loro protezione della privacy.
I sistemi SD-WAN possono instradare il traffico utilizzando le convenzioni del protocollo Internet o abbreviare gli indirizzi tramite il Cambio etichetta multiprotocollo (MPLS) sistema. È anche in grado di inviare traffico la rete LTE ai dispositivi mobili.
Sebbene la tecnologia sia definita “software-defined“, Può anche essere implementato da un’appliance, che è una soluzione hardware.
SD-WAN vs connessioni Internet
I dipendenti su siti separati possono facilmente comunicare tra loro su Internet, quindi perché preoccuparsi di una SD-WAN? La differenza principale tra un sistema che gestisce una serie di LAN collegate da Internet e una WAN è quella lo spazio degli indirizzi di una WAN è unificato.
Le LAN utilizzano indirizzi IP privati validi solo all’interno di quella rete e quindi non importa che un endpoint su un’altra rete da qualche altra parte abbia lo stesso indirizzo IP. Ciò vale anche per la LAN di un altro sito della stessa azienda. Tutti gli indirizzi su una WAN devono essere univoci. Quindi, creando una WAN attraverso La tecnologia SD-WAN crea un unico spazio di indirizzi in tutti i siti.
La WAN può avere una centrale Server DHCP, uno Server DNS, e un gestore di indirizzi IP. È ancora possibile centralizzare il supporto di rete in una posizione se ogni sito dell’azienda mantiene la propria LAN. Tuttavia, ciò significa che l’amministratore di rete deve tenere traccia di diversi spazi di indirizzi e ciò può complicarsi.
Il software SD-WAN sovrappone i problemi di indirizzamento di Internet che intervengono e presenta solo uno spazio di indirizzi all’amministratore per la rete privata anche se tale rete è fisicamente dispersa.
SD-WAN e VPN
Le procedure operative delle SD-WAN sono molto simili a quelle delle reti private virtuali (VPN). Le aziende utilizzano le VPN da un po ‘di tempo. La loro applicazione consente ai lavoratori remoti di connettersi alla rete aziendale e di essere trattati come se fossero nello stesso edificio. Il collegamento al lavoratore remoto viene trasferito su Internet ed è protetto dalla crittografia.
La differenza tra le funzioni di una VPN e di una SD-WAN è questa la VPN collega un singolo endpoint a una rete, mentre SD-WAN crea un collegamento tra due reti, ognuna delle quali serve molti endpoint. Il software SD-WAN può anche fornire connessioni VPN a singoli lavoratori.
Sia le VPN che le SD-WAN utilizzano un metodo chiamato “incapsulamento.”Ciò comporta l’inserimento di un intero pacchetto all’interno del payload di un altro pacchetto. Il pacchetto esterno ha una propria intestazione, che non si riferisce alle informazioni di routing contenute nell’intestazione del pacchetto interno originale. Il pacchetto esterno esiste solo per il tempo necessario per ottenere il pacchetto interno su Internet.
Lo scopo principale dell’incapsulamento è di consentire la crittografia dell’intero pacchetto originale e la sua protezione dagli snoopers. Ciò significa che le informazioni di routing contenute nel pacchetto di intestazione sono temporaneamente reso illeggibile, e quindi inutile come fonte di informazioni per i router su Internet. Ciò rende il pacchetto interno “invisibile” a tutti i dispositivi su Internet. Un’analogia con questo processo è quella in cui qualcuno in viaggio attraversa un tunnel per una parte del percorso e quindi sarebbe temporaneamente invisibile a chiunque rintracci quella persona in elicottero. Per questo motivo, l’incapsulamento è noto come “traforo.”
Protezione connessione SD-WAN
Il metodo di protezione più comunemente usato per il traffico SD-WAN mentre passa su Internet è IPSec. Ciò presenta un’altra somiglianza con la tecnologia VPN perché IPSec è una delle opzioni di sicurezza spesso utilizzate per proteggere le VPN. Tuttavia, il sistema di sicurezza più comune utilizzato per le VPN è OpenVPN.
IPSec è uno standard aperto, pubblicato da Internet Engineering Taskforce (IETF) originariamente come RFC 1825, RFC 1826 e RFC 1827. Uno standard aperto significa che chiunque può accedere alla definizione del protocollo e implementarlo senza pagare una tassa. Non ci sono restrizioni sull’uso commerciale della norma.
IPSec è un “Strato 3“Protocollo (terminologia OSI). Fa parte di la suite di protocolli TCP / IP ed è al di sotto del livello di trasporto. Questo livello di protocollo è generalmente implementato dai router – switch essendo “Strato 2” dispositivi. Essendo al di sotto del livello di trasporto, IPSec non è in grado di stabilire una sessione. Tuttavia, è in grado di autenticare il router remoto e scambiare le chiavi di crittografia. In effetti queste procedure emulano il lavoro svolto da TCP a stabilire una sessione.
I sistemi di sicurezza in IPSec sopportare attraverso i collegamenti, quindi copre l’intero viaggio attraverso Internet. La crittografia comprende le intestazioni dei pacchetti del traffico di rete, reindirizzando tutti i pacchetti con un’intestazione esterna al fine di portarli attraverso Internet al gateway corrispondente nel sito remoto.
L’incapsulamento di IPSec concilia la differenza tra l’ambito privato degli indirizzi IP di rete e il requisito di unicità dello spazio di indirizzi Internet pubblico. Il protocollo IPSec definisce due diverse estensioni di crittografia. Il protocollo può essere utilizzato in “modalità di trasporto.”In tal caso, solo il corpo del pacchetto trasportato è crittografato. L’altra opzione è “modalità tunnel,”Che crittografa l’intero pacchetto inclusa l’intestazione e lo inserisce in un pacchetto esterno con un’intestazione leggibile. Nelle SD-WAN, IPSec lo è usato sempre in modalità tunnel.
Il metodo di crittografia che può essere distribuito con IPSec è lasciato alla scelta dello sviluppatore del software di implementazione. Può essere TripleDES-CBC, AES-CBC, AES-GCM o ChaCha20 con Poly 1305.
Implementazione SD-WAN
Come sistema di livello 3, le SD-WAN dovrebbero essere implementate dal router. Tuttavia, è possibile acquistare software per un computer che acquisisce tutto il traffico prima che raggiunga il router, gestisca le attività SD-WAN e quindi invii tutto su Internet attraverso il router. Questo è un apparecchio virtuale soluzione. Un metodo alternativo è quello di sostituire il router con un’appliance in cui è incorporato il software SD-WAN.
L’appliance o la combinazione software-router dovrebbe essere in grado di instradare facoltativamente il traffico su SD-WAN o su Internet verso altre destinazioni. Questa flessibilità si chiama “tunneling diviso“Perché i dati aziendali destinati a un sito remoto della WAN viaggeranno attraverso il tunnel SD-WAN, mentre il traffico Internet regolare uscirà su Internet senza incapsulamento.
La terminologia SD-WAN esiste solo dal 2014, anche se la tecnologia di base esiste da più tempo. Tuttavia, la metodologia è già stata assorbita dal cloud computing. Il cloud computing raggruppa il software con hardware di supporto ed è definito “Software come un servizio“(SaaS). Il software SD-WAN può essere ospitato su un server remoto, creando il software di rete come servizio. Questa categoria di servizio è definita “Unified Communications as a Service,” o UCaaS.
Nell’architettura UCaaS, la società client non ha bisogno di acquistare alcun software o dispositivo speciale. Invece, una connessione VPN dalla società al server cloud canalizza tutto il traffico verso il servizio UCaaS. I processi SD-WAN vengono applicati in quel punto e il traffico viene inoltrato al sito remoto appropriato, che è anche collegato al sistema UCaaS tramite una VPN.
Poiché tutto il traffico proveniente da tutti i siti passa attraverso il server UCaaS, le decisioni in merito al routing del traffico attraverso il tunnel verso un altro sito o all’invio tramite Internet normale vengono prese sul server cloud.
La strategia di instradamento di tutto il traffico attraverso un servizio cloud sta diventando sempre più comune ed è definita “servizio di bordo.”Questo è un nuovo metodo utilizzato dalle società di sicurezza informatica per fornire protezione firewall alle reti e il servizio UCaaS può aggiungere protezione di sicurezza, tra cui monitoraggio e-mail. Altri extra che il sistema UCaaS può fornire includono sistemi di continuità, backup e archiviazione.
Le SD-WAN basate su cloud sono più convenienti rispetto alle soluzioni in loco perché rimuovono i costi iniziali per l’acquisto dell’hardware e del software necessari per creare la WAN e non richiedono tecnici per mantenerli. I sistemi UCaaS sono generalmente addebitati una base di abbonamento che costa una frazione del prezzo di acquisto dell’hardware e del software per essere eseguito internamente.
Attribuzione delle immagini: rete Internet da Pixabay. Dominio pubblico.
to più grande viene quindi inviato attraverso la rete pubblica, ma solo il destinatario previsto può accedere al pacchetto interno. Protezione connessione SD-WAN La protezione della connessione SD-WAN è garantita dalla crittografia. Il traffico tra i siti viene crittografato e solo il destinatario previsto può accedere ai dati. Inoltre, il software SD-WAN può essere configurato per rilevare e prevenire gli attacchi informatici. Implementazione SD-WAN Limplementazione di una rete SD-WAN richiede lacquisto di hardware o software. Lhardware può essere costoso, ma offre una soluzione più robusta. Il software, daltra parte, è meno costoso, ma richiede una maggiore attenzione alla sicurezza. Inoltre, limplementazione di una rete SD-WAN richiede una pianificazione attenta e una buona conoscenza della rete. In conclusione, la tecnologia SD-WAN offre una soluzione efficace per la creazione di una rete geografica. Offre protezione della privacy, unificazione degli spazi di indirizzi e la possibilità di utilizzare la rete LTE per i dispositivi mobili. Tuttavia, limplementazione richiede una pianificazione attenta e una buona conoscenza della rete.