Peplink’in SD-WAN altyapısına bakışını incelediğimiz bu makale, gerçekte marka bağımsız tüm SD-WAN ürünleri için geçerli kavramları ortaya koymaktadır. Örneğin, bir SD-WAN cihazının sahip olması gereken özellikler, Peplink üzerinden trafik dağıtımı, DNS kullanarak trafik yönlendirme, Peplink bonding yaklaşımı ile trafik yönlendirme, dağıtık firewall mimarisi gerektiğinde güvenlik ve süreklilik nasıl sağlanır ve maliyet optimizasyonu nasıl yapılır gibi başlıklara göz atacağız. Peki, nedir SD-WAN altyapısı?
İşte karşınızda bir SD-WAN cihazının temelde sahip olması gereken ana özellikler:
- Cihaz sanal veya fiziksel olsa bile birden fazla WAN çıkışına sahip olmalı.
- Tüm WAN çıkışları aynı anda kullanılabilmeli.
- Hangi trafikler için hangi çıkışların kullanılacağını tanımlamak üzere bir yazılım veya benzeri araç (“SD”) kullanılabilmeli. (Cihaz üzerinde veya dış bir yazılım olabilir.)
- Ek olarak iyi bir WAN router çıkış trafiği kadar giriş trafiğini de yük paylaşımı (load-balance) mantığında yönetebilmeli ve WAN cihazları arasındaki tüm hatları birleştirebilmeli (Bonding).
WAN ÇIKIŞLARINI BİRLEŞTİRME (BONDING)
Gelen trafik için WAN çıkışlarını birleştirebilmenin güvenlik ve süreklilik adına bir kaç faydası vardır. Birincisi ve en önemlisi, servis sağlayıcılardan birindeki bir kesinti sürekliliği ve erişimi etkilemez. Ek olarak VPN ve SSL trafiği WAN çıkışlarına dağıtıldığından dış kullanıcılar için erişim hızında artış ve kesintisiz erişim sağlanmış olur. Güvenlik perspektifinden bakıldığında ise Peplink L2TP kullandığından dış kullanıcılar için güvenli ve esnek network erişimi sağlanabilir, zira L2TP neredeyse tüm cihazlarda kolay yönetilebilir bir erişim yöntemi olarak karşımıza çıkmaktadır.
Şekil-1 Peplink Üzerinden Trafik Dağıtımı
Benzer şekilde birden fazla WAN çıkışı üzerinden giden trafiği dağıtmanın da güvenlik ve süreklilik açısından büyük önemi bulunmaktadır. Bununla birlikte Peplink içindeki DNS Proxy birimiyle entegre çalışan WebTitan gibi servisler kullanılabilir, böylece kullanıcıların kendi DNS sağlayıcısını seçmesi ve DNS güvenlik politikalarını aşması engellenebilir. Peplink router cihazları ayrıca üyelik gerektirmeyen bir içerik filtreleme özelliğine sahiptir, iyi bir firewall kuralı ile desteklendiğinde istenmeyen trafikler engellenebilir. Çok sayıda WAN çıkışı üzerinden iletişim kurmanın bir avantajı da dış trafiğinizi dinleyerek saldırmak isteyen kötü niyetli kişilerin işini zorlaştırmasıdır, çünkü trafik her seferinde farklı kanallardan gelmektedir. Bonding kullanımı, bu güvenlik derecesini daha da artırmaktadır.
Şekil-2 DNS Kullanarak Trafik Yönlendirme
Bonding; bütün WAN çıkışları üzerinden şifreli trafik gönderme, trafiği bu WAN çıkışlarına bölebilme ve güvenlik altyapısını merkezi olarak yönetebilme gibi avantajlarıyla güvenliği ve sürekliliği artırır, maliyetleri düşürür. Güvenlik derecesini artırmak üzere Peplink SpeedFusion VPN kullanılarak uzak uçlarda “deny all in / deny all out” default firewall kuralı aktif edilebilir, böylece kurala uymayan tüm trafikler yasaklanır. Merkez lokasyonunda ise merkezi firewall üzerinden internete çıkacak tüm trafik detaylı denetlenebilir, böylece organizasyona ait tüm trafik merkezi bir noktadan yönetilebilir.
Şekil-3 Peplink Bonding Yaklaşımı ile Trafik Yönlendirme
SD-WAN VE PEPLINK
MPLS veya IPSec VPN gibi yapılarda dağıtık firewall mimarisi gerektiğinde güvenlik ve süreklilik şu şekilde sağlanır:
- Peplink cihazları birden fazla WAN çıkışı üzerinden kullanılarak hat kesintilerine karşı koruma sağlanır, böylece bağlantı seçenekleri de artmış olur.
- Bonding eklendiğinde VPN trafiği 256bit AES ile şifrelenir ve tüm WAN çıkışları üzerinden trafik dağıtımı sağlanır.
- Bonding aynı zamanda tüm hatlar üzerinden kesintisiz iletişim sağlar.
- Merkezi güvenlik yönetimi entegre edildiğinde Bonding ile ataklara karşı savunma sağlanır.
- Bonding ve merkezi yönetim birlikte kullanıldığında ağa tek noktadan giriş yönetimi sağlanır.
MALİYET OPTİMİZASYONU
Şekil-4 Farklı ISP Kullanımı ve ISP Yönetimi
Tipik olarak çok noktalı bir WAN projesinde uzak uçlar merkeze MPLS veya benzeri hatlarla bağlıdır. Böylece iletişim ve süreklilik tek servis sağlayıcıya bağlı kalır. Bu şekilde bir yapıda iletişim maliyetleri de ciddi şekilde artabilir. MPLS hat maliyetleri ile kıyaslandığında daha yüksek hızlı internet erişimleri daha ucuz olabilmektedir. Farklı servis sağlayıcılardan alınan internet hatları üzerinden yapılan erişimler sayesinde servis sağlayıcı yedekliliği ve iletişim maliyetleri üzerinde tam kontrol sağlanabilir. Tüm kazanımlar özetlenirse;
- Tek ve bağımsız hat maliyetlerini düşürerek yönetilebilir bir altapı kurabilme,
- Peplink SpeedFusion VPN yapısı kullanılarak kendi WAN ağınızı kurabilme ve yönetebilme,
- MPLS, P2P ve IPSec gibi teknolojilere yönelik pahalı cihaz ve hat maliyetlerinden kurtulabilme,
- Yüksek maliyetli hat bakım sözleşmelerinden kurtulabilme,
- Ağ yönetimi maliyetlerini aşağıya çekebilme,
- Ağın tam kontrolünü ele alabilme, böylece servis sağlayıcı bağımsız şekilde hareket edebilme, daha uygun bir opsiyon çıktığında hemen değerlendirebilme,
Bonding ile merkezi yönetim kullanabilme, bu sayede yüksek maliyetli firewall donanım ve bağlantılı diğer servislerden kurtulabilme.