מבוא
במאמר שלי על SD-WAN מפברואר 2018, כתבתי על SD-WAN ומה שהיה לפני שנתיים – טכנולוגיה ושירותי תקשורת שהיו בתחילתם. הרבה דברים קרו מאז ועל זה אני רוצה להרחיב. במאמר אכנס לשני היבטים של SD-WAN – יצרנים ושירותים. בנושא היצרנים אתייחס ליצרני הציוד וטופולוגיות רשת. בנושא השירותים אתייחס לספקי השירות, לשירותים הקיימים, מה היתרונות שלהם, איך והאם ללכת לכיוון זה.
על מה נדבר
SD-WAN הינה טכנולוגיה המתבססת על SDN, הבאה לתת פתרון לקישורי ושירותי WAN (על נושא SDN הרחבתי קצת במאמר מלפני מספר חודשים). בצורתה הראשונה, כמו שתיארתי במאמר מפברואר 2018, מדובר על בקר ורכיבי קצה מנוהלים שמאפשרים העברת התנועה הבין אתרים מרוחקים דרך מספר קווים, כאשר המערכת בוחרת את הנתיב הטוב ביותר לפי סוג התנועה.
יצרני SD-WAN
ישנם יצרנים רבים בתחום של מוצרי SD-WAN, בינהם יצרנים מתחום התקשורת, יצרנים מתחומי מערכות הפעלה ושרתים וגם יצרנים שמתמחים בתחום.
מתחום התקשורת יש לנו כמובן את Cisco עם מוצרי חברת Viptela שנרכשה ב- 2017 ומוצרי חברת Meraki, המיועדים לפלחי שוק שונים ולמטרות שונות. חברת Juniper שהייתה בין הראשונים להוציא מוצרים בתחום ה- SD-WAN בפרט, ובתחום של ה- SDN בכלל, עם ה- Contrail, חברת Extreme עם XR600P נוקיה עםNuage Networks ואחרים.
מתחומי התוכנה יש קודם כל את VMware עם VeloCloud, את Oracle עם מוצרים שונים, Citrix ואחרים. ישנם כמובן גם ספקי שירות רבים, חלקם גם יצרני ציוד ותוכנה בעצמם, שעליהם ארחיב בסעיפים הבאים.
שירותי SD-WAN
שירותי SD-WAN אפשר להקים במספר דרכים:
- ברכישה מספק התקשורת – בזק בינ"ל עם Verizon ו- British Telecom, סלקום עם PCCW ואחרים. ישנן מספר חברות תקשורת בינ"ל שמוכרות גם שירותי SD-WAN, אולם מכיוון שטכנולוגיה זאת מתחרה ישירות ברשתות ה- MPLS של אותן חברות אז אין הרבה כאלה.
- בשיטת "עשה זאת בעצמך" (DIY). שיטה אפשרית ללקוחות גדולים במיוחד, כאשר הציוד נרכש ומיושם באופן עצמאי על ידי הלקוח.
- ברכישה מחברות המספקות שירותי תקשורת בינלאומיים מנוהלים (Managed Service Providers). כאן קיימות חברות רבות, בינהן CATO Networks, Aryaka ואחרות. בחברות מסוג זה (חברות MSP) אתמקד בסעיף הבא.
ספקי שירות מנוהל (MSPs)
ספקי תקשורת מנוהלים (Managed Service Providers) ישתמשו באחת משתי שיטות לספק שירותי תקשורת מנוהלים – קישוריות מעל רשת האינטרנט או קישוריות באמצעות ספקי תקשורת קווית עם קישורי MPLS. אנחנו נראה שירות זה נקרא גם בשם Secure Access Service Edge (SASE), כלומר שירות גישה מאובטחת לרשת.
את הטופולוגיה של ספק MSP אנחנו רואים בשרטוט הבא (דוגמא בלבד!)
בשרטוט אנחנו רואים רשת עולמית של ספק מסוג MSP, כאשר לספק יש מספר רב של נקודות גישה (PoPs), עם חיבורים ביניהם. החיבורים נעשים על ידי קישורים של ספקי Tier 1, כלומר ספקים שהתשתית הינה בבעלותם (Cogent, CenturyLink, GTT ואחרים).
כאשר לאופן חיבור זה שתי מטרות עיקריות:
- מטרה ראשונה הינה כמובן שרידות – ספקי Tier 1 הינם הבעלים של הרשת והתשתיות, ולכן לא יתאפשר מצב שבו תקלה ברשת אחת תגרום להשבתת כל הקישורים בין PoPs שונים.
- מטרה שניה הינה שבכל רגע נתון אפשר לבחור את הניתוב מקצה לקצה (מ- PoP ל- PoP) באופן שייתן את השירות האופטימלי לפי הדרישה ולפי סוג היישום. כך למשל ספק שירות מנוהל יכול לנתב תנועה של שיחות טלפון דרך הנתיב עם ה- Delay הנמוך ביותר, ותנועה של העברת קבצים דרך נתיב שבו ה- Delay יותר גבוה אבל יש רוחב פס פנוי יותר באותו הזמן.
המתחרים לסוג שירות זה הינם:
- קישורים ישירים דרך האינטרנט, עם Site-to-Site VPNs בין Firewalls. קישור זה הינו כמובן הזול ביותר אבל אין כל אבטחה לרמת שירות כלשהי.
- קישורים ישירים בקווי MPLS בינלאומיים. קישורים אלו הינם ברמת שירות גבוהה מאוד, ובהתאם גם המחירים.
לשירות SD-WAN מנוהל יש מספר יתרונות:
- קרבה ללקוח (מיקום ה- POP / Point of Presence) – כאשר ישנם משרדים במקומות רבי בעולם, יהיה לנו PoP קרוב לכל אחד מהאתרים. הרגע שהתחברנו לרשת, יש לנו אפשרות להתחבר לכל אחת מהנקודות בעולם שיש לאותו הספק.
- הקמה מהירה של שירות – ברגע שאנחנו מחוברים לרשת הקמת השירות לוקחת דקות. יש להיכנס למערכת הניהול של הספק, להגדיר קישור ל- PoP זמין בכל מקום בעולם והשירות עובד.
- העברת המידע במספר ניתובים – לספקי ה- SD-WAN יש לפחות שני ספקי תשתיות של Tier 1 שעליהם הם מתבססים, ולכן אנחנו מקבלי בנוסף לשרידות הגבוהה גם אפשרות לחלוקת עומסים בניתובים שונים ביין נקודות קצה שלנו ברשת.
- שיפור ביצועים – הספקם השונים מציעים גם שירות WAN Acceleration בין הנתבים ב- PoPs, דבר שיכול לשפר בצורה משמעותית את הביצועים, בתלות בסוג היישום כמובן.
- עלויות – שירותי SD-WAN מנוהלים יכולים להיות זולים, ואפילו זולים משמעותית משירותי MPLS אבל צריך לבדוק. גם ספקי MPLS מוזילים מחירים וגם שם אפשר לקבל עסקאות לא רעות בכלל.
האם לעבור לשרותיי MSP SD-WAN?
כשאנחנו באים לבדוק אם ניקח שירותים מסוג זה , עלינו לבדוק מספר דברים.
דבר ראשון, האם יש PoP קרוב אלינו למשרד הראשי בארץ, וחשוב מכך קרוב למשרדים או לאתרים שאליהם אנחנו רוצים להתחבר בעולם. אם למשל המשרד הראשי שלנו הוא בארץ, ונתחבר לשירות שה- PoP הקרוב הוא באירופה הרי שנצטרף לקחת קווי תקשורת יקרים ל-PoP באירופה, וגם ה- Delay יהיה 50-80mS נוספים, דבר שמראש יפחית משמעותי את הכדאיות של שירות זה. לשירות מסוג זה יש יתרון משמעותי כאשר אנחנו צריכים להגיע למקומות "נידחים" יותר. לניו יורק, פאריז ולונדון נוכל לרכוש גם קווי MPLS במחירים סבירים. תבקשו הצעות לקווי MPLS לאוסטרליה, ניו זילנד, דרום אמריקה או אפילו לשכנים שלנו ממזרח ותגלו שהמחירים קופצים משמעותית.
דבר שני, חשוב לבדוק מה סוג היישומים שאנחנו עובדים איתם. לתת שיפור ביצועים לשיתוף קבצים זה קל (קצת משחקים עם TCP וזה עובד..). לשפר ביצועים או אפילו לשמור על ביצועים של שיחות לדוגמא וידאו זה יותר קשה. יש גם ספקים שמתמחים בתחומים מסוימים. יש לוודא עם הספק הפוטנציאלי לגבי כל אחד מהיישומים שאנחנו מתכוונים העביר על הרשת.
נושא נוסף לבדיקה הינו כמובן נושא העלויות והאם זה כדאי. תלוי. אם יש לנו קישור אחד או שניים לאירופה או ארה"ב, גם קווי MPLS יהיו כנראה במחיר סביר (עם כמובן תנהלו מו"מ עם הספקים ותקבלו הצעה טובה..)
אם יש לכם מספר רב של קישורים, וחיבור עם FWs דרך האינטרנט לא מספיק יציב או איכותי מבחינתכם, בתלות בזמינות הנדרשת ובתלות באפליקציות, כנראה ש- MSP SD-WAN הינו פתרון טוב.
אם יש לכם קישורים למקומות פחות שגרתיים, ונדרשת זמינות גבוהה, MSP SD-WAN הוא פתרון מצויין, ובתנאי שה- PoPs שך ספק השירות קרוב מספיק.
והכי חשוב, זמינות ואמינות. למרות שספקי השירות מתחייבים לחמש תשיעיות (99.999% זמינות, שזה אי-זמינות מקסימלית של כ- 5 דקות לשנה), אם התקשורת לאתרים המרוחקים היא קריטית, כדאי שיהיה איזה גיבוי נוסף, למשל Site-to-Site VPN כגיבוי.
טכנולוגיה
ישנן מספר טכנולוגיות המאפשרות שירותי SD-WAN, ועליהן אני רוצה קצת להרחיב בסעיף זה.
WAN Acceleration
ישנן מספר טכנולוגיות בהם ניתן להשתמש לשיפור הביצועים ברשתות WAN. טכנולוגיות אלו נמצאות תחת המושג של WAN Acceleration. מוצרים אלו של WAN Acceleration קיימים כבר הרבה שנים, למשל מוצרי Steelhead מחברת Riverbed, סדרת VX/NX של חברתSteelhead ורבים אחרים.
השיטות כאן הן רבות. נתחיל עם שיפורים בפרוטוקול TCP עצמו – אפשר למשל להגדיל את גודל החלון (Window Size) של TCP (דיברתי על זה במאמר "תופעות Zero Window – ואיך לבדוק "מי אשם" באיטיות במערכת" ועל ידי כך לשפר את הביצועים של TCP. אפשר לשנות את ה- TCP Ack Frequency, להתערב במנגנון של ה- Slow Start ועוד.
מנגנונים נוספים הם מנגנוני דחיסה של המידע עצמו (Payload Compression), כאשר הדחיסה תלויה כמובן בפרוטוקול עצמו, וכמה יעילה הדחיסה בכל פרוטוקול. חשוב כמובן גם לוודא שהדחיסה לא מכניסה השהייה (Delay) משמעותית להעברה כי גם להשהיה יש השפעה על הביצועים.
עבור יישומים מסוימים אפשר גם להפעיל את נקודות הקצה גם כ- Proxy, כאשר מידע שמועבר, למשל קבצים, ישמר בנקודות הקצה למקרה שמישהו נוסף ישתמש במידע זה (דומה מאוד למנגנון Caching בגישה לאינטרנט). טכנולוגיה זו יעילה במיוחד ביישומים העובדים עם פרוטוקולי NetBIOS/SMB, למשל העברת קבצים במייקרוסופט.
על נושא ביצועים ברשתות תקשורת אנחנו מדברים לעומרק בקורסי Wireshark, בקרוב בקורסים מקוונים.
ניתוב לפי סוג יישום (AAR – Application Aware Routing)
מכיוון שלספקי שירות מנוהל של SD-WAN מתבססים על קווי תקשורת משני ספקים שונים באופן שבכל רגע ניתן לבחור באיזה ניתוב ודרך אילו קווים תועבר התנועה. כאן נכנס הנושא של Application Aware Routing, כלומר היכולת של הרשת המנוהלת לבחור את נתיב העברת המידע לפי סוג וצרכי האפליקציות המועברות.
בשיטה זו, כמו שאנחנו רואים בשרטוט הבא, מוקמים Tunnels שונים בין נקודות קצצה של המשתמש, כאשר על כל אחד נמדדים באופן רציף נתוני איכות התקשורת מקצה לקצה (ה- QoS) – Delay, Jitter ו- Packet Loss.
באופן זה לדוגמא, אם ב- Tunnel 1 למעלה ה- Delay וה- Jitter הם הנמוכים יותר אז תנועה של Voice תעבור דרכו, גם אם רוחב הפס שם הוא נמוך יותר, ואילו תנועה של העברת קבצים תעבור דרך Tunnel 2 שבו למשל ה- Jitter גרוע יותר אבל יש בו יותר רוחב פס פנוי.
במערכות SD-WAN רכיבי הקצה יזהו את סוג האפליקציה לפי רמות 3, 4 ו- 7 או לפי דפוס העבודה שלהן, כאשר ניתן להגדיר זאת באופן סטטי או דינמי, ולפי זה ה- Controllers של הרשת יידעו דרך איזה Tunnel להעביר את התנועה.
סיכום:
במאמר זה דיברנו על שירותי SD-WAN, היתרונות שלהם והאם ללכת לכיוון זה. עם כל הטכנולוגיה (שברובה מתבססת על עקרונות ומערכות קיימות), השורה התחתונה היא תמיד ביצועים ומחיר, עלות מול תועלת. מכיוון שמדובר גם על טכנולוגיה ושירותים חדשים יחסית, מומלץ לבקש פיילוט, לבדוק, ורק אם באמת משפרים את העבודה אז ללכת לכיוון. הטכנולוגיה כבר בשלה, ובהחלט יכול להיות פתרון לא רע בכלל למקרים רבים.