SD-WAN componenten

SD-WAN componenten

Een SD-WAN is een gelaagde netwerkarchitectuur waarin het besturingsvlak wordt gescheiden van het gegevensvlak. Door het besturingsvlak op een gecentraliseerde locatie onder te brengen wordt netwerkbeheer sterk vereenvoudigt en is het gemakkelijker om een netwerk te schalen. Een SD-WAN bestaat uit verschillende componenten die met elkaar communiceren en samenwerken. Hiermee wordt een consistente WAN-architectuur gecreëerd die geschikt is voor vrijwel ieder transportmedium.

Het besturings- en gegevensvlak

Het besturingsvlak en gegevensvlak zijn de meest bekende onderdelen van netwerkapparatuur. De processen in beide componenten zorgen ervoor dat het mogelijk is om netwerkverkeer uit te wisselen. Zo bepaalt het besturingsvlak hoe verkeer over het netwerk getransporteerd moet worden en hoe de routeringstabel moet worden samengesteld. Het gegevensvlak is daarentegen verantwoordelijk voor het daadwerkelijk over het netwerk transporteren van het netwerkverkeer, aan de hand van de instructies die door het besturingsvlak worden aangeleverd. In traditionele netwerkapparatuur zitten het besturingsvlak en gegevensvlak bij elkaar. In een SD-WAN wordt het met behulp van software mogelijk gemaakt om het besturingsvlak los te koppelen van het gegevensvlak. Hierdoor kunnen netwerkconfiguraties centraal worden uitgevoerd, in plaats van dat de juiste configuratie op ieder apparaat handmatig doorgevoerd dient te worden.

Een gelaagde netwerkarchitectuur

In een gelaagde netwerkarchitectuur wordt een (virtueel) netwerk bovenop een fysiek netwerk gecreëerd. Dit virtuele netwerk maakt gebruik van dezelfde fysieke infrastructuur. Hierdoor ontstaan (virtuele) netwerklagen waarmee netwerkdiensten kunnen worden losgekoppeld van de fysieke infrastructuur. Met behulp van identificatietags kunnen endpoints elkaar identificeren en met elkaar communiceren. Wanneer datapakketjes van deze netwerklagen over het netwerk getransporteerd moeten worden, dan worden deze datapakketjes eerst ingekapseld en vervolgens via virtuele tunnels over de fysieke infrastructuur getransporteerd. Dit gebeurt met behulp van netwerkprotocollen als VXLAN, NVGRE, STT en GRE. Wanneer de datapakketjes hun eindbestemming bereiken, worden deze weer uitgepakt.

Netwerk dat gebruik maakt van SD-WAN

Een schematische weergave van een gelaagde netwerkarchitectuur, waarbij het virtuele netwerk gebruik maakt van de fysieke infrastructuur

SD-WAN componenten

Met een SD-WAN wordt in feite een gevirtualiseerd netwerk gecreëerd dat draait bovenop de fysieke netwerkarchitectuur. Een SD-WAN bestaat uit vier componenten:

  • een of meerdere controllers
  • een orchestrator
  • een of meerdere edge apparaten
  • een administratorpanel

Ieder component vervult hierbij zijn eigen specifieke taken. Dit zorgt ervoor dat alle componenten vrijwel volledig zelfstandig kunnen functioneren, wat de efficiëntie van het gehele netwerk verhoogt.

Administratorpanel

Het administratorpanel vormt het dashboard van het SD-WAN. Dit administratorpanel wordt vaak in de vorm van een webapplicatie aangeboden. Via het administratorpanel kunnen netwerkbeheerders op een veilige manier het gehele SD-WAN monitoren, beheren en wijzigingen wat betreft Quality of Service en netwerkpolicies doorvoeren.

Orchestrator

De orchestrator fungeert als virtuele netwerkbeheerder door voor het servicemanagement van het SD-WAN te zorgen. De orchestrator heeft een volledig overzicht van het netwerk en zorgt onder andere voor de handhaving van policies die in de controller zijn gedefinieerd, het delen van netwerkinformatie met andere componenten en het maken van analyses wat betreft dataverbruik en prestaties. De orchestrator is ook verantwoordelijk voor de configuratie van end-to-end connectiviteit tussen edge apparaten. Dit gebeurt door applicatie gebaseerde forwarding over het WAN op te zetten op basis van beveiligingstandaarden, QoS en geconfigureerde netwerkpolicies. De orchestrator is hierdoor van essentieel belang voor het Zero-Touch Provisioning proces, wat inhoudt dat nieuwe apparaten automatisch van de juiste configuraties worden voorzien. Apparaten die aan het SD-WAN toegevoegd worden zijn vaak al binnen enkele minuten volledig operationeel.

Controller

De controller is het 'brein' van het SD-WAN en maakt centraal beheer van het netwerk mogelijk. De SD-WAN controller onderhoudt de verbindingen met de edge-apparatuur. De controller identificeert hierbij de operationele status van SD-WAN tunnels voor een of meerdere WAN-netwerken en haalt van iedere tunnel de QoS-statistieken op. Deze statistieken worden gedeeld met de orchestrator en in het administratorpanel getoond. Naast het onderhouden van verbindingen wordt via de controller ook alle edge-apparatuur in het SD-WAN beheerd. Onder dit beheer valt onder andere de activatie en configuratie van apparatuur, IP-adres management en het doorvoeren van policies naar specifieke of alle apparatuur. Doordat in een SD-WAN routeringsinformatie niet direct tussen routers, maar via de controller wordt uitgewisseld is het mogelijk om met behulp van policies te bepalen hoe edge-apparatuur verkeer over het SD-WAN dient te transporteren.

Edge-apparatuur

De edge apparatuur wordt gevormd door fysieke of virtuele netwerkapparaten die verantwoordelijk zijn voor het creëren van beveiligde, virtuele tunnels (SD-WAN tunnels) waarmee de basisverbindingen van het SD-WAN gevormd worden. De edge apparatuur bepaalt aan de hand van QoS-configuraties, routeringsinformatie en netwerkpolicies hoe dataverkeer dat van het SD-WAN afkomstig is over de fysieke infrastructuur getransporteerd dient te worden en andersom. De edge apparatuur is hiermee dus verantwoordelijk voor een juiste routering van netwerkverkeer voor zowel de fysieke als de virtuele WAN-netwerken.

SD-WAN componenten

Een schematische weergave van de opbouw van de verschillende componenten die samen het SD-WAN vormen

Hoe een SD-WAN werkt

Het SD-WAN wordt gecreëerd met behulp van een administratorportal, orchestrator, controller en edge-apparatuur. Hierbij zijn het besturingsvlak en het gegevensvlak volledig van elkaar gescheiden. De edge apparaten creëren beveiligde tunnels, waarmee een virtueel netwerk wordt gecreëerd dat draait bovenop het fysieke netwerk. Over deze netwerken wordt het netwerkverkeer getransporteerd. Alle edge apparatuur staat via een apart, beveiligd besturingskanaal in verbinding met de controller en de orchestrator. Via dit besturingskanaal ontvangt alle apparatuur zijn configuraties, routeringsinformatie en policy informatie. Over het besturingskanaal wordt geen dataverkeer getransporteerd.

Netwerk dat gebruik maakt van SD-WAN

Een netwerk met een SD-WAN waarbij verkeer van het besturingsvlak en gegevensvlak volledig van elkaar gescheiden zijn