SD-WAN – mechanizm ułatwiający wdrożenie cyfrowej transformacji

Piotr Sadurski, architekt sieciowy w MAIN Interconnection (dawny Telsar) opowiada o tym, czym jest SD-WAN, jakie korzyści oferuje ona klientom końcowym, przykładach projektów oraz rozwoju oferty rozwiązań SD-WAN w MAIN Interconnection i kompetencjach w zakresie poszczególnych dostawców.

Piotr Sadurski Network Architect, MAIN Interconnection

Pobierz wywiad

Czym jest SD-WAN?
Odpowiedź na to pytanie nie jest do końca oczywista. Jak się patrzy na to tylko z punktu widzenia technologii, to – jak sama nazwa wskazuje – jest to zwirtualizowana sieć rozległa. Nasuwa się więc porównanie do tradycyjnej sieci WAN. W naturalny sposób SD-WAN jest więc zestawiany z MPLS, najbardziej popularną, klasyczną metodą budowania sieci korporacyjnej. W tym przypadku prawie każdy specjalista sieciowy wie, jak ta technologia działa, ponieważ jest to jasno zdefiniowany zestaw protokołów.

Jeśli zaś chodzi o SD-WAN, trudność polega na tym, że nie mamy do czynienia z jednym protokołem, lecz z jedną, wspólną ideą budowy sieci. Każdy dostawca robi to jednak na swój sposób.

Według Gartnera są cztery cechy, którymi powinno się charakteryzować rozwiązanie SD-WAN. Po pierwsze, jest to możliwość wsparcia różnych typów łączy – m.in. MPLS, FTTX, LTE i 5G. Po drugie, możliwość dynamicznego wybierania i rozdzielania ścieżek transmisji tak, aby równoważyć obciążenie łączy i zwiększać ich dostępność. SD-WAN powinien też mieć przejrzysty interfejs, ułatwiający konfigurację i zarządzanie tego typu siecią. Ostatnią cechą jest zapewnienie odpowiedniego poziomu bezpieczeństwa poprzez wykorzystanie tuneli VPN, a także wsparcie zewnętrznych mechanizmów bezpieczeństwa, takich jak chmurowe firewalle czy kontrolery ruchu internetowego (Secure Web Gateway).

Jednak założenia Gartnera są na tyle ogólne, że dość łatwo jest je spełnić i dają pewną dowolność w podejściu do realizacji idei SD-WAN. Różni dostawcy robią to więc w różny sposób. Przykładowo Cisco korzysta z własnych doświadczeń w zakresie budowy infrastruktury sieciowej. Z kolei VMware kupił firmę Velocloud, która – nie mając żadnego bagażu dotychczas oferowanych rozwiązań – stworzyła koncepcję SD-WAN niemal od podstaw. Mają nawet własny protokół do realizacji dynamicznych tuneli VPN wspierający kodowanie nadmiarowe, które pozwala na niwelowanie strat na łączach.

SD-WAN jest też częścią składową SASE – Secure Access Service Edge – to nowa idea podejścia do integracji i bezpieczeństwa sieci. Termin ten został ukuty przez Gartnera rok temu.

Może to również kwestia zmiany potrzeb?

W naszym przypadku, byliśmy świeżo po decyzji o standaryzacji, unifikacji sieci. Wychodziliśmy z modelu opartego na współpracy z wieloma operatorami, dostarczającymi różne technologie sieciowe w rozmaitych modelach, kontraktowane na niezachodzące na siebie terminy. O ile w Polsce standaryzacja była oparta o MPLS, to w części zagranicznej nie było właściwie żadnej. Tam było ponad 250 lokalizacji na wiele sposobów podłączonych do sieci. I wtedy wykluł się nam plan wdrożenia standaryzacji w oparciu o SD-WAN.

W jaki sposób przebiegało wdrożenie?

W grupie kapitałowej działało kilka centrów danych i rozwój zagranicą był tylko częściowo kontrolowany przez centralę, która jest w Polsce. Zagraniczne oddziały miały własnych informatyków i służby związane z utrzymaniem. Wniosek z obserwacji był taki, że przyłącza do sieci lokalnej w oddziałach zagranicznych są różnej jakości i to przysparza problemów w dostępie do aplikacji biznesowych. Pierwszy plan poprawy sytuacji nasuwał się sam: spróbujmy tego, co zrobiliśmy w Polsce, czyli MPLS o wysokiej dostępności. Mieliśmy znakomite łącza. Potrafiliśmy mierzyć dostępności. Oferować SLA. Dobrze współpracowaliśmy z operatorami.

Czemu do tego nie doszło?

Wtedy właśnie usłyszeliśmy o nowej technologii SD-WAN. Przeprowadziliśmy PoC, który potwierdził, że to obiecujące rozwiązanie. Zdecydowaliśmy się na propozycję VMware, z którym współpracowaliśmy wcześniej przy rozwiązaniach dla chmury – VeloCloud – a jako pionier mieliśmy też zagwarantowany handicap cenowy.

Wdrożenie SD-WAN zautomatyzowało, uprościło i przyspieszyło działanie naszej sieci MPLS. W sposób niezauważalny dla użytkownika zarządza też pasmem i może przesłać ruch do internetu, np. do chmury. W efekcie nie musimy transmitować tego przez wspólne wyjście do sieci w centrali, tylko bezpośrednio skomunikować oddział np. z usługą Microsoft Azure. W wyniku pandemii jeszcze szerzej zaczęliśmy wykorzystywać Microsoft Teams i pojawiły się dalsze potrzeby.

Z tego zaczął się robić duży projekt…

…który kosztuje, a mieliśmy przecież w planach unifikację całej sieci w kilkuset lokalizacjach. Wtedy właśnie wyszliśmy do zarządu z propozycją, że zmienimy parametry polskiej sieci. Wypowiemy umowy na MPLS i podpiszemy z operatorami umowy na dużo tańsze połączenia internetowe, ale – dzięki SD-WAN – będziemy w stanie nie tylko utrzymać jakość, ale i przewyższymy dotychczasowe możliwości. Po bardzo dużym PoC byliśmy pewni tego, że zmiana jest obarczona minimalnym ryzykiem. Z zaoszczędzonych środków przeprowadzimy roll-out SD-WAN na sieć międzynarodową. Kiedy pojawiły się środki z oszczędności, udało się to zgrać z uruchamianiem kolejnych lokalizacji.

Na co warto zwrócić uwagę, planując wdrożenie SD-WAN?
Warto pamiętać, że projekt SD-WAN wymaga skupienia całej infrastruktury w ręku jednego dostawcy i modernizacji wszystkich elementów sieci rozległej, w tym urządzeń brzegowych i koncentratorów w centrali. Oferuje za to wiele różnych korzyści. Należy zdecydować się na jedną technologię SD-WAN, bo wybierając dwóch jej dostawców, będzie się miało dwie sieci, dwie konsole do zarządzania nimi, a także dwie grupy specyficznych problemów w związku z zastosowaniem konkretnych rozwiązań. Ważną decyzją – którą należy podjąć przed budową sieci SD-WAN – jest więc zdecydowanie, z kim chcemy się związać. Trzeba również pamiętać, że będziemy mieli do czynienia nie z wygrzanymi, prostymi protokołami sieciowymi i sprzętowymi routerami – jak w tradycyjnych sieciach WAN – lecz niekiedy z nie do końca oczywistymi problemami z ewentualnymi błędami programowymi.

Dla kogo więc jest SD-WAN?
Przede wszystkim dla firm o rozproszonej strukturze oraz aktywnie korzystających z chmury. Także dla tych, które widzą problemy ze swoją obecną siecią WAN. MPLS – jako konkurent SD-WAN – oferowany przez różnych dostawców dobrze działa w obrębie jednego kraju. Pojawia się jednak problem w spięciu organizacji międzynarodowej. Poza tym wszystko komplikuje fakt, że warto by mieć redundantne połączenia, co najmniej dwa na każdy oddział. Zbudowanie sieci SD-WAN znacząco wszystko upraszcza. Ponadto sama logika SD-WAN powoduje, że sieć tego typu niemal sama się konfiguruje i pozwala w łatwy sposób połączyć nawet kilkaset oddziałów.

SD-WAN to również znakomite rozwiązanie dla firmy bardzo mobilnej, często zmieniającej lokalizacje oddziałów – jak w przypadku firm budowlanych – albo mających oddziały w miejscach o bardzo słabych łączach. Obecnie jednak technologia tak się upowszechniła, że nawet mała firma, o kilku zaledwie oddziałach, może skorzystać z sieci SD-WAN. Warto wziąć pod uwagę tę technologię, jeżeli budujesz sieć od zera albo po prostu podłączać za jej pomocą tylko nowe, a w kolejnym etapie zmigrować – ze starego rozwiązania do SD-WAN – wszystkie.

Jakie są korzyści biznesowe wynikające z wirtualizacji?
Warto podkreślić fakt, że SD-WAN jest jednym z podstawowych mechanizmów, który ułatwia wdrożenie – z sukcesem – cyfrowej transformacji w naszej organizacji. Tego typu rozwiązania w znacznej mierze opierają się na rozwiązaniach cloud computing. W przypadku tradycyjnej sieci WAN, opartej na MPLS, oddziały połączone są z firmowym data center, gdzie funkcjonuje centralny firewall i serwer proxy. Dopiero za pośrednictwem centrali łączą się z internetem, a więc także z usługami chmurowymi. Tymczasem, np. w przypadku usług SaaS, opóźnienie w transmisji danych ma bardzo duże znaczenie. Przykładem może być praca w środowisku SharePoint online na wspólnym dokumencie. Dodatkowo, w tradycyjnym modelu gwiazdy duże pliki ściągane są wpierw do centrali, a następnie do właściwego oddziału i udostępniane użytkownikowi, co powoduje zapychanie punktów zbiorczych i generuje niepotrzebną utylizację łączy między oddziałami.

SD-WAN daje możliwość routingu i przypisywania ściśle określonych polityk per aplikacja, ponieważ sieć jest je w stanie rozpoznać. Pozwala również na wprowadzenie polityki obsługi i ustawienia mniej ważnym aplikacjom – np. serwisom social media czy VoD – niższego priorytetu. Można też nałożyć ograniczenie, że będą one wykorzystywać np. 10% dostępnego pasma. Do obsługi niebiznesowych aplikacji można w ogóle dedykować osobne łącze.

SD-WAN pozwala też – multiplikując łącza – poprawiać pasmo takiej wirtualnej sieci. Dzięki temu firma ma lepszą kontrolę nad funkcjonowaniem zarówno jej samej, jak i funkcjonujących w niej aplikacji. W przypadku usług cloud computing można tak skonfigurować SD-WAN, że każdy oddział łączy się bezpośrednio z ich dostawcą, co umożliwia zoptymalizowanie łącza centralnego.

Jednym z istotnych elementów budowy sieci jest zagwarantowanie jej bezpieczeństwa. Jak to wygląda w przypadku SD-WAN?
SD-WAN wzbogacono o dodatkowe mechanizmy bezpieczeństwa, czyli wspomniane przeze mnie wyżej SASE to nowe podejście do sieci. Przedstawiciele Gartnera wierzą, że rozpowszechnianie się aplikacji w chmurze wymaga zmian w zakresie rozwiązań zapewniających bezpieczeństwo, które mogą zostać wprowadzone właśnie dzięki architekturze SASE. Dotyczy to: poufności przesyłanych oraz przechowywanych danych, granularnej kontroli dostępu, a także niewielkich opóźnień przy dostępie do aplikacji z dowolnego miejsca na świecie. SASE zapewnia ochronę podczas dostępu do aplikacji firmowych zarówno dla komunikacji z oddziałów firmy, jak i z każdego innego miejsca, np. z domu w przypadku pracy zdalnej, a wszystko w oparciu o jedną politykę bezpieczeństwa. Gwarantuje to efekt skali i wzmocnienia mechanizmów bezpieczeństwa, tym bardziej, gdy kupujemy je u jednego dostawcy.

Jaka jest specjalizacja MAIN Interconnection Sp. z o.o. w kontekście innych firm wchodzących w skład EIP Group, w tym MAIN Sp. z o.o.?
MAIN oferuje usługi data center w różnych modelach. Z kolei MAIN Interconnection wspiera go w utrzymaniu i wirtualizacji sieci oraz łączeniu – również za pomocą sieci SD-WAN – zasobów klienta z usługami chmury prywatnej w MAIN Data Center. Poza tym usługi te oferujemy w modelu operatorskim, a więc to nie dział IT klienta kupuje całe rozwiązanie. My to robimy w jego imieniu, a następnie – na naszym kontrolerze SD-WAN – udostępniamy jego kawałek i oferujemy usługi zarządzania jego siecią. Nie wymaga to po jego stronie inwestycji początkowej i nakładu pracy własnych specjalistów IT.

Jakie kompetencje w zakresie budowy sieci SD-WAN ma MAIN Interconnection?
Po pierwsze, doradzamy klientowi, które rozwiązanie wybrać. Po drugie, wybraną technologię możemy wdrożyć u klienta, w modelu, w którym to on kupuje rozwiązanie. Po trzecie, możemy zaoferować klientowi uruchomienie SD-WAN w modelu operatorskim, w którym to kupuje usługę od MAIN, nie ponosząc kosztów inwestycji. W całym procesie wspieramy wiedzą i doświadczeniem naszych inżynierów, pomagamy też klientom na etapie planowania i rozwoju sieci. Największe kompetencje mamy w zakresie rozwiązań Cisco i VMware, a także Palo Alto. Testujemy również rozwiązania do wirtualizacji sieci firm Fortinet i Nuage Networks.

Wywiad ukazał się w magazynie ITwiz.