Nu cu mult timp în urmă, pionierii rețelisticii creionau caracteristicile „Epocii de piatră” a networking-ului definind conceptele de Spanning Tree Protocol și VLAN. Cum lumea este într-o continuă evoluție, nu a durat mult până la tranziția către „Epoca de bronz”, inginerii desăvârșiți primind titulatura de „IP Magedon” pentru că stăpâneau protocoalele de rutare și desenau rețelele pe distanțe geografice mari (WAN). Rețelele au devenit din ce în ce mai mari, făcând din serviciile de Internet și Intranet din interiorul companiilor un atribut din ce în ce mai căutat. Se pune astfel în discuție problema scalabilității din punct de vedere management operațional al rețelelor și, bineînțeles, problema securității acestora.

Networking-ul tranzitează odată cu aceste nevoi către epocile de „Renastere și Programabilitate”. Apar concepte precum controllerele centralizate, separarea planurilor, programabilitate sau underlay versus overlay. În zilele noastre ne aflăm la granița dintre aceste două epoci, iar acest lucru, din punct de vedere al rețelelor WAN, se traduce prin includerea mecanismelor software în zona de networking și discutăm astfel despre soluții de tip Software Defined Wide Area Network, pe scurt SDWAN.

Soluția Cisco pentru SDWAN ia naștere în anul 2017, odată cu achiziția companiei Viptela. Tehnologia Viptela a fost înglobată în soluțiile de rutare state-of-the-art deja existente în portofoliul Cisco, conturându-se astfel o nouă generație de rețele WAN, bazate pe conceptul de „intuitive-networks” (rețele intuitive), rețele care se adaptează constant condițiilor de trafic, oferă posibilitatea de automatizare și înglobează nativ mecanismele de securitate atât de necesare în contextul climatului cibernetic actual.

Istoric vorbind, cea mai scalabilă arhitectură de WAN era reprezentată prin implementarea tehnologiei DMVPN. Mecanismele de administrare ce presupuneau conectarea pe fiecare echipament în parte și legarea administratorilor de linia de comandă, conturează nevoia unei centralizări, proces prin care să se poată realiza managementul întregii infrastructuri. În SDWAN, managementul se realizează printr-un așa-numit „Single Pane of Glass”, o consolă centralizată prin care se pot configura noi feature-uri, dar se pot și vizualiza toate datele despre echipamentele administrate, în vederea eficientizării procesului de depanare.

Pentru depanare, inginerii se confruntă desori cu probleme de funcționalitate a aplicațiilor. Pe zona de transport, zona care este de obicei asigurată de către un provider de servicii, pot apărea modificări ale parametrilor de întârziere și jitter (variația întârzierii), precum și pierderi de pachete (eng. latency, jitter și loss). Soluția Cisco ține cont de acești parametri în scopul alterării rutării de pachete, în timp real. Astfel, pentru aplicațiile susceptibile, spre exemplu, la întârzieri (VoIP, Video etc.), în cazul în care una dintre legăturile de WAN nu îndeplinește parametrii impuși, traficul pentru acea aplicație se va re-ruta automat pe o altă conexiune de WAN. În scenariul ideal în care toate conexiunile de WAN îndeplinesc parametrii impuși, traficul se va balansa pe toate circuitele, acest lucru realizându-se de asemenea în mod automat, fără intervenția administratorului.

Istoric vorbind, cea mai scalabilă arhitectură de WAN era reprezentată prin implementarea tehnologiei DMVPN. Mecanismele de administrare ce presupuneau conectarea pe fiecare echipament în parte și legarea administratorilor de linia de comandă, conturează nevoia unei centralizări, proces prin care să se poată realiza managementul întregii infrastructuri. În SDWAN, managementul se realizează printr-un așa-numit „Single Pane of Glass”, o consolă centralizată prin care se pot configura noi feature-uri, dar se pot și vizualiza toate datele despre echipamentele administrate, în vederea eficientizării procesului de depanare.

Pentru depanare, inginerii se confruntă desori cu probleme de funcționalitate a aplicațiilor. Pe zona de transport, zona care este de obicei asigurată de către un provider de servicii, pot apărea modificări ale parametrilor de întârziere și jitter (variația întârzierii), precum și pierderi de pachete (eng. latency, jitter și loss). Soluția Cisco ține cont de acești parametri în scopul alterării rutării de pachete, în timp real. Astfel, pentru aplicațiile susceptibile, spre exemplu, la întârzieri (VoIP, Video etc.), în cazul în care una dintre legăturile de WAN nu îndeplinește parametrii impuși, traficul pentru acea aplicație se va re-ruta automat pe o altă conexiune de WAN. În scenariul ideal în care toate conexiunile de WAN îndeplinesc parametrii impuși, traficul se va balansa pe toate circuitele, acest lucru realizându-se de asemenea în mod automat, fără intervenția administratorului.

Scalabilitatea configurării rețelelor SDWAN provine din valorificarea conceptului de Plug-and-Play cee ace se traduce prin realizarea centralizată a configurării, configurare care mai apoi se se distribuie către routere în momentul conectării acestora la rețea. De fapt, configurarea prezentă la nivel central este segregată în template-uri, aspect ce permite reutilizarea unei singure configurări pe mai multe device-uri, îmbunătățindu-se astfel trasabilitatea și procesul de depanare.

Din punct de vedere al arhitecturii, soluția SDWAN poate fi văzută ca un „fabric” în interiorul căruia există mai multe roluri separate pentru fiecare tip de device. De fapt, aceste funcții se mapează pe planurile din cadrul unui router ce face parte dintr-o rețea clasică – management, control și date. În SDWAN, singurul plan care intră sub jurisdictia routerului este planul de date. Astfel, traficul interesant dintre două locații deservite de două routere diferite, va tranzita data plane-ul celor două echipamente. Din punct de vedere al rutării, tabelele de rutare ale device-urilor sunt populate utilizând planul de control, prin intermediul controller-ului ce poartă numele de vSmart. Acesta are rolul de a agrega update-urile de rutare de la toate echipamentele din rețea și de a le transmite către celelalte routere. vSmart poate fi privit ca fiind omologul route reflector-ului din cadrul protocolului BGP. Managementul infrastructurii se realizează prin intermediul controller-ului ce poartă numele de vManage. Se atinge astfel și cel de-al treilea plan, adică planul de management din cadrul fabric-ului. Ultimul plan este planul de orchestrare. Acesta are rolul de a asigura „îmbarcarea” (eng. on-boarding) inițială a routerelor în fabric și este asigurat de către controllerul ce poartă numele de vBond.

Securitatea reprezintă în general un subiect ce trebuie tratat cu maxima responsabilitate. Principiul de „layered security” este aplicat cu succes în SDWAN, conturându-se trei direcții de interes în interiorul fabric-ului. În prima fază, așa cum reiese din paragraful anterior, înrolarea routerelor în fabric-ul de SDWAN se realizează prin vBond, folosind un model de whitelisting, model ce presupune înrolarea în rețea numai a device-urilor ale căror serie și certificate digital corespund cu lista încărcată în prealabil de către administrator. Conexiunea se inițiază dinspre routere către vBond, controller ce verifică SN-ul și datele din certificatul prezentat de către router, iar mai apoi validează cererea echipamentului de a intra în fabric. În planul de date, traficul dintre routere este securizat nativ, folosindu-se protocolul IPSEC, protejându-se astfel datele utile transmise prin fabric. Cel de-al treilea layer de securitate este reprezentat de securizarea traficului din planurile management și control prin intermediul protocoalelor DTLS sau TLS.

Având în vedere complexitatea arhitecturală și operațională a rețelelor din zilele noastre, precum și necesitatea de a securiza cât mai bine datele și infrastructura de comunicații, soluția Cisco SDWAN reușește să ofere simplitate în configurare și administrare, respectând totodată cele mai bune practici din industrie în ceea ce privește securitatea cibernetică.