Blog

Connectivity

SD-WAN: oude wijn in nieuwe zakken?

31 okt 2019

SD-WAN wordt momenteel door veel fabrikanten gehyped als dé nieuwe WAN-oplossing. Hoe nieuw is het eigenlijk en wat zit er precies onder de motorkap? Het bouwen van een bedrijfsnetwerk (een WAN) dat zich over meerdere bedrijfsvestigingen en datacenters uitstrekt, kan grofweg op twee manieren. In deze blog ga ik dieper in op deze twee manieren en de hedendaagse SD-WAN-oplossingen.

Jan van der Graaf door Jan van der Graaf

Dark-fiber of MPLS-verbindingen door een Telecom-provider

De eerste is om dit te laten verzorgen door een Telecom-provider die dark-fiber of MPLS-verbindingen toepast en op alle locaties een doosje plaatst (meestal een router) dat de toegang verzorgt tot het WAN. Hiermee krijgt het bedrijf een volledig afgeschermd netwerk over de gedeelde infrastructuur van de Telecom-provider. Voordelen van een dergelijke oplossing zijn gegarandeerde bandbreedtes en QoS (Quality of Service) op applicatie niveau. Nadeel is vaak het prijskaartje dat er aan hangt, zeker als het over internationale verbindingen gaat, en de levertijden van nieuwe aansluitingen.

Gebruik van VPN-tunnels

De tweede manier is om gebruik te maken van het alom aanwezige internet en hierover zogenaamde VPN-tunnels aan te leggen. Virtual Private Network (VPN)-tunnels zijn encrypted verbindingen die over het internet lopen. Ook hier is weer sprake van een router op iedere bedrijfslocatie. Tussen elk paar routers wordt dan een VPN-tunnel gebouwd om zo een volledig vermaasd netwerk tussen alle locaties te krijgen. Voor elke tunnel wordt een aparte encryptiesleutel gebruikt en dit maakt het configureren en in stand houden van een dergelijk netwerk redelijk arbeidsintensief en foutgevoelig. Als er in een netwerk van 20 locaties een 21ste locatie bijkomt, moeten er 20 VPN tunnels worden geconfigureerd. Dit werd erkend door netwerkleveranciers als Cisco welke in 2005 de zogenaamde Dynamic MultiPoint VPN (DMVPN)-technologie introduceerde.

DMVPN

Bij DMVPN wordt nog steeds gebruik gemaakt van encrypted VPN-tunnels over het internet, alleen worden ze nu grotendeels automatisch opgebouwd. Er is één hoofdlocatie (HUB) in het netwerk en alle overige locaties hebben alleen een handmatig geconfigureerde VPN-tunnel naar de HUB nodig. De HUB beschikt over de kennis over alle andere locaties en bestuurt als het ware het netwerk. Van de HUB leren alle locaties over elkaars bestaan en gebeurt het onderling opzetten van de VPN-tunnels vervolgens volledig automatisch. Dit maakt het toevoegen en verwijderen van locaties een stuk eenvoudiger.

Hedendaagse SD-WAN-oplossingen

Hedendaagse SD-WAN-oplossingen maken nog steeds gebruik van technieken die op DMVPN lijken voor het onderling opbouwen van VPN-tunnels tussen de locaties. In plaats van routers op de locaties worden nu ook firewalls toegepast en de besturing van het geheel vindt plaats via een cloud gebaseerde portal. Het principe blijft echter hetzelfde, een locatie hoeft alleen kennis te hebben van de cloud portal en moet deze kunnen bereiken. Vanuit de portal wordt vervolgens de gehele VPN-stuctuur automatisch opgezet (plug and play).

Wat zijn de voordelen?

Zijn er dan verder helemaal geen voordelen? Zeker wel. Zoals gezegd maken SD-WAN-oplossingen gebruik van (Next-Gen) firewalls. Deze doen deep-packet inspection en zijn application aware. Hierdoor is het mogelijk om op applicatieniveau inzicht te krijgen in het bandbreedte gebruik en hier eventueel op te prioriseren. Minder belangrijke applicaties, zoals bijvoorbeeld Youtube of Facebook, kunnen hierbij in bandbreedte gelimiteerd worden in het voordeel van de belangrijke bedrijfsapplicaties. Ook geeft dit inzicht over de juiste dimensionering van de internet lijnen en kan er mogelijk bespaard worden op overgedimensioneerde lijnen.

Tevens is het mogelijk om het verkeer te spreiden over meerdere WAN lijnen. Bijvoorbeeld een kwalitatief goede lijn voor de belangrijke applicaties en een goedkopere lijn voor de minder belangrijke applicaties. Zelf een backup-lijn via een 4G-internetverbinding behoort tot de mogelijkheden. Doordat gebruik wordt gemaakt van Next-Gen firewalls is ook eenvoudig een veilige local internet break-out te realiseren op iedere locatie. Hierbij worden generieke policies vanuit de centrale portal beheerd en bestuurd. In een situatie waarbij naast de eigen datacenters ook gebruik wordt gemaakt van cloud diensten, hoeft dit verkeer niet eerst via de centrale datacenters maar kan het rechtstreeks naar de dichtstbijzijnde instance van de clouddienst.

SD-WAN is dus wel degelijk een verbetering ten opzichte van traditionele (DM)VPN-netwerken. Met name de eenvoud, het gemak en de flexibiliteit, in combinatie met de verbeterde applicatie performance maken SD-WAN een krachtige technologie voor de huidige en nieuwe generatie WAN netwerken.

Geïnteresseerd?

Jan van der Graaf
Neem contact op met onze specialist Jan van der Graaf

Jan van der Graaf is pre-sales consultant Networking & Security bij Telindus. Hij heeft al meer dan 25 jaar ervaring op het gebied van netwerkinfrastructuren (LAN, WAN) en (cyber)security. Binnen Telindus richt hij zich vooral op geïntegreerde security-oplossingen inclusief het beheer ervan. Vanuit zijn grote schat aan operationele ervaring helpt hij organisaties om de juiste keuzes te maken op het gebied van netwerk- & security-infrastructuren. Keuzes die daadwerkelijk helpen en ontzorgen.

geen reacties
Plaats een reactie