Beveiligings- en netwerkspecialisten schuiven massaal SD-WAN naar voren als de oplossing om het netwerk van verschillende kantoren met elkaar te verbinden. Wat is SD-WAN precies en welke problemen lost het op?
Dit stuk is een onderdeel van onze ‘IT uitgelegd’-reeks, waarin we belangrijke begrippen en technologieën achter producten en innovaties vandaag op een begrijpelijke manier uitleggen.
Bij een bedrijf hoort een bedrijfsnetwerk: een privaat netwerk met pc’s, printers en servers waarop zakelijke activiteiten op een veilige manier plaatsvinden. Voor een organisatie met één kantoorlocatie is de organisatie van een dergelijk netwerk niet overdreven complex. Routers, switches, firewalls, een occasionele IPS en vele meters UTP-bekabeling metsen de IT-infrastructuur tot een werkbaar geheel.
Meerdere locaties, één netwerk
Het verhaal wordt complexer wanneer een organisatie een satellietkantoor opent. Je hebt nog steeds een bedrijfsnetwerk nodig, maar met meerdere locaties is het geen optie meer om je infrastructuur in een LAN-netwerk te stoppen. Op iedere locatie verschijnt wel een lokaal netwerk met endpoints en randapparatuur, maar de verschillende locaties onderling moeten ook met elkaar kunnen praten. Met UTP-kabels en switches alleen ga je dat varkentje niet wassen.
Met UTP-kabels en switches alleen ga je dat varkentje niet wassen.
De moderne technologische oplossing voor dat probleem heet SD-WAN. Die vijf letters behoeven heel wat uitleg. De term staat voor Software Defined Wide Area Network. In de benaming zitten twee belangrijke termen: Software Defined enerzijds, en Wide Area Network anderzijds. Laten we eerst het WAN dissecteren.
LAN + LAN = WAN
WAN staat in contrast met LAN of Local Area Network. Een privaat kantoornetwerk op een enkele locatie is een LAN-netwerk, net als je thuisnetwerk met de printer, smartphones en smart tv. Het is een lokaal netwerk van toestellen dat los staat van het internet (al is het er in de praktijk wel mee verbonden). Je hoeft geen internetverbinding te hebben om een eerder opgeslagen mail nodeloos af te printen met de kantoorprinter.
Wanneer er meerdere satellietkantoren in het spel zijn, ontstaan er meerdere LAN-netwerken. In een bedrijfscontext wil je die LAN-netwerken met elkaar verbinden en een netwerk van LAN-netwerken maken. Zo’n netwerk-netwerk noemen we een WAN.
Privé-internet met MPLS
Traditioneel worden dergelijke WAN’s geconnecteerd via Multiprotocol Label Switching of MPLS. MPLS gebruikt private netwerkbekabeling, doorgaans voorzien door gespecialiseerde providers, en specifieke hardware en protocollen om de infrastructuur van verschillende kantoren aan elkaar te linken. Speciale WAN-routers sturen data van het ene kantoor naar het andere via vooraf gespecifieerde trajecten. Data van kantoor A volgen zo over een speciaal professioneel netwerk altijd dezelfde route naar het aankomstpunt van kantoor B. WAN-infrastructuur maakt doorgaans gebruik van een centraal hoofdkwartier met een datacenter, waarmee de satellietkantoren dan via MPLS langs de privé-netwerkkabels communiceren.
Vergeleken met het publieke internet heeft een MPLS-gebaseerde WAN heel wat voordelen. De infrastructuur is privaat, betrouwbaar, heeft niet te lijden onder congestie en is beter beveiligd, aangezien cybercriminelen er niet op lurken. Nadelen zijn er ook: de oplossing is best complex en duur, zeker wanneer je wil upgraden naar meer capaciteit. Bovendien speelt MPLS niet zo netjes samen met de publieke cloud. Trafiek van werknemers die een cloud-app willen gebruiken, loopt immers via het netwerk naar de centrale hub, van daar naar de cloud en dan helemaal terug. Die omweg weegt op de beschikbare bandbreedte van het bedrijfsnetwerk en verhoogt de latency.
Software Defined: loskomen van de hardware
Nu je weet wat een traditioneel WAN is, moeten we even naar de SD in de naam kijken. Een Software Defined-netwerk (SDN) is een netwerk waarvan de controle en sturing via software gebeurt. Bij een gewoon netwerk is dat niet het geval: de switches en routers vervullen ieder hun eigen functie. Exemplaren van dezelfde hardwarefabrikant praten waarschijnlijk wel met elkaar, maar in principe bouw je een netwerk op door de hardware op het niveau van het toestel te configureren.
MPLS speelt niet zo netjes samen met de publieke cloud.
Een SDN trekt die complexiteit los van de hardware en virtualiseert in essentie het hele netwerk. De onderliggende toestellen zijn allemaal compatibel met dezelfde SDN-standaard en spreken dus dezelfde taal, ongeacht de fabrikant. De configuratie van het netwerk gebeurt niet op toestelniveau maar via overkoepelende software.
Zo kan je in een kantoor hardwarematig alle IoT-toestellen en één LAN-netwerk stoppen en alle werkpc’s, printers en servers in een ander. Dat heet netwerksegmentatie en door meer gevoelige IoT-hardware te scheiden van het operationele bedrijfsnetwerk, beveilig je dat laatste beter. Je kan ook alle toestellen connecteren op één Software Defined-netwerk, en diezelfde segmentering vervolgens virtueel toepassen. Voor de toestellen zelf (alsook eventuele aanvallers) lijkt het alsof er twee fysiek gesegmenteerde netwerken bestaan, terwijl de netwerkadministrator die SDN’s via enkele muisklikken kan aanmaken.
Een Software Defined-netwerk koppelt dus de functionaliteit van netwerkhardware los van de fysieke toestellen en vertaalt ze naar software, wat meer flexibiliteit met zich mee brengt. Zo kan je de IoT-camera en je pc in dezelfde switch stoppen, terwijl ze dankzij SDN in twee totaal verschillende gescheiden netwerken vertoeven. Virtualisatie maakt zo complexere, meer flexibele en veiligere netwerken mogelijk die eenvoudiger zijn in beheer dan het alternatief.
Combinatie van technologie
Voor SD-WAN moeten we beide begrippen samenvoegen. Een SD-WAN combineert de functionaliteit van een WAN met de praktische inrichting van SDN. De speciale WAN-routers en het MPLS-protocol maken plaats voor virtuele alternatieven.
Trafiek wordt in satellietkantoren via SD-WAN-routers gestuurd. Die toestellen lijmen de LAN’s van alle bedrijfslocaties samen, net zoals WAN-routers. Omdat het netwerk software defined en dus virtueel is, hoeft een SD-WAN geen MPLS-netwerk. Zolang er connectiviteit is, kan er een virtueel netwerk bestaan. Dat betekent in de praktijk dat je met SD-WAN locaties met elkaar kan verbinden via het publieke internet, private MPLS-verbindingen of zelfs 4G en 5G. Dankzij de softwarelaag denken toestellen en applicaties op het netwerk dat ze in een gewoon WAN-netwerk zitten, terwijl de hardware daaronder flexibel is.
Intelligentie
Een SD-WAN-oplossing zoekt slim de efficiëntste manier om trafiek te routen. Heeft een organisatie meerdere internetverbindingen of MPLS en een breedbandconnectie? Dan zal het SD-WAN-toestel het verkeer spreiden. Valt er één route weg? Dan gaat al de trafiek over de redundante oplossing. Verkeer loopt zo bij SD-WAN vaak wel over het publieke internet, maar via veiligere virtuele netwerktunnels. Bij een traditionele MPLS-gebaseerde WAN-oplossing komt redundantie van (dure) extra bekabeling.
lees ook
Van VPN naar zero trust: het verschil en de voordelen
De intelligentie van SD-WAN speelt vooral heel mooi samen met de cloud. We haalden al aan dat een gebruiker die een cloudgebaseerde SaaS-toepassing wil gebruiken binnen een WAN-context te maken krijgt met vertraging en latency. Logisch: zijn of haar pc zit fysiek in het lokale netwerk, dat fysiek via de WAN-router verbonden is met het datacenter van het hoofdkantoor, waarvan de trafiek pas naar het internet vertrekt. Niet zo bij SD-WAN. Aangezien het netwerk softwaregebaseerd is, kan een SD-WAN-router in een bijkantoor op basis van de bestemming van het dataverkeer de datapakketjes ergens anders heen sturen.
In de praktijk zal verkeer bestemd voor de publieke cloud rechtstreeks naar de cloudprovider vloeien vanuit de individuele kantoren, zonder de kostelijke omweg langs het centrale datacenter. Verkeer van dezelfde pc bestemd voor de bedrijfsservers, loopt wel veilig via de SD-WAN. Het WAN-netwerk zelf wordt ontlast en de gebruiker krijgt dankzij de rechtstreekse verbinding met zijn cloudapp een veel betere ervaring.
Waarom SD-WAN?
SD-WAN-architectuur combineert samengevat de voordelen van een MPLS-gebaseerde WAN met de flexibiliteit van extra connecties. Ingebouwde intelligentie splitst verkeer op zodat trafiek die rechtstreeks naar het internet en de cloud moet, daar vlot geraakt. Daar komt bij dat intelligentie in SD-WAN ook Quality of Service (QoS) kan garanderen door bijvoorbeeld videoverbindingen voorrang te geven op uitgaande mails, zodat digitale vergaderingen ook bij beperkte bandbreedte vlot verlopen.
De aanpak kadert bovendien in de huidige evolutie van het IT-landschap. Virtualisatie waarbij functionaliteit loskomt van de onderliggende hardware, wordt overal de norm. Door ook het netwerk en de WAN te virtualiseren, kan een onderneming zijn IT-infrastructuur efficiënt en veilig in een moderne hybride (multicloud) omgeving klikken. De flexibiliteit trekt zich vervolgens door naar de hardware: SD-WAN-intelligentie draait op x86-toestellen en is zo uitbreidbaar naar zelfs de publieke cloud. Tot slot kan je via mobiele connectiviteit ook edge-hardware en datacenters in het WAN-netwerk integreren op een beheersbare manier.