Aruba SD-Branch: Privatna mreža u oblaku

Šta je SD-WAN?

SD-WAN je akronim za Software Defined – Wide Area Network, što generalno znači da se principi SDN (Software Defined Networking) tehnologije primjenjuju na upravljanje mrežama širokog područja (WAN). SD-WAN pojednostavljuje upravljanje WAN mrežama principom odvajanja mrežnog hardvera od njegovih kontrolnih mehanizama. U tom smislu je SD-WAN vrlo sličan SDN-u u data centrima koji koristi virtualizacijske tehnologije kako bi unaprijedio upravljanje mrežama, te kontrolu i nadzor saobraćaja.

Jedna od ključnih primjena SD-WAN tehnologije je izgradnja WAN mreža visokih performansi korištenjem cjenovno prihvatljivijeg i komercijalno široko dostupnog internet pristupa. Na taj način se poslovnim subjektima omogućava djelomično ili potpuno napuštanje privatnih WAN mreža kao što je MPLS. U tom smislu mogu se koristiti razni oblici pristupa – na primjer fiksni širokopojasni pristup ADSL/VDSL, mobilni pristup putem 3G/4G mreže, ali i stalni vod (sinhroni pristup) putem MPLS mreže nekog ISP (pružatelja usluga pristupa internetu).

SD-WAN se primjenjuje i za povezivanje geografski udaljenih ureda sa centralnom lokacijom neke korporativne mreže ili data centra. Klasične WAN mreže su kroz historiju koristile razne proprietary protokole i specifičnu hardversku opremu nekog proizvođača, no dolaskom SD-WAN tehnologije korisnici postaju neovisni o tipu opreme, proizvođaču, vrsti pristupa i pružatelju usluge, što je jedna od ključnih prednosti.

Zašto SD-WAN?

Među glavnim pokretačima razvoja SD-WAN tehnologije su:

 • Nezavisnost o transportnom sloju – želimo osigurati da bilo koji paket (bilo podatkovni, video ili glasovni saobraćaj) stigne sigurno i pouzdano od izvora do odredišta nezavisno o vrsti pristupa i korištene tehnologije (ADSL, mobilna mreža, stalni vod, MPLS…)
 • Mogućnost mjerenja performansi svakog pojedinog odabranog pristupnog linka i mogućnost odabira između svakog u zavisnosti o prethodno određenim pravilima (tzv. Policy Based Routing – PBR)
 • Centralizirano upravljanje velikim brojem dislociranih mreža i uređaja uz osiguranje visokog nivoa dostupnosti, pouzdanosti i efikasnosti

Prema riječima IDC-a, “Pojava SD-WAN tehnologije jedna je od najvećih pokretača transformacije u IT industriji u posljednjih nekoliko godina. Nezavisno o njihovoj veličini, kompanije ubrzano rade na modernizaciji svojih WAN mreža kako bi povećali korisničko iskustvo u radu sa rastućim brojem aplikacija u oblaku.“ Kako stoji navedeno u jednom njihovom izvještaju, SD-WAN tržište će “rasti stopom od 40,4% godišnje (CAGR) između 2017. i 2022. godine te dostići ukupnu vrijednost od 4,5 milijardi USD.”

Osnovne prednosti SD-WAN tehnologije su:

 • Nema geografskih ograničenja (brisanje granica među državama koje pokriva određeni ISP)
 • Viši stupanj performansi, kontrole, skalabilnosti i vidljivosti
 • Optimizacija troškova koja se zasniva najprije na izboru pristupnih linkova u ovisnosti o vrsti prometa i prioritetu (Stalni vod, MPLS, ADSL/VDSL, 3G/4G (LTE), različiti ISP provideri…)
 • Automatizirano uspostavljanje novih mreža (ZTP – Zero Touch Provisioning), olakšano održavanje, nadzor i upravljanje otklonom smetnji kroz definiranje grupnih pravila (group policy) i centralnih pravila rutiranja prometa (Central routing policy)
 • Viša razina korisničkog iskustva prilikom korištenja SaaS aplikacija (kao što je Office 365) ostvarena efikasnijim metodama prioritizacije prometa i osiguranja kvalitete usluga (QoS)

Gdje se u ovoj priči nalazi Aruba?

Kao što smo konstatovali, SD-WAN adresira nedostatke prijašnjih WAN mreža i nudi nova rješenja – međutim postavlja se pitanje upravljanja LAN mrežama na nekoj udaljenoj lokaciji (područnom uredu). Kako bi osigurali neometan rad sa aplikacijama novijih generacija nije dovoljno zaustaviti se samo na upravljanju WAN linkovima, već je potrebno spuštanje do nivoa switcheva, access pointa te samog klijenta.

Aruba u tom smislu nudi koncept SD-Branch u kojem se SD-WAN principi proširuju na sve elemente mreže unutar nekog udaljenog područnog ureda. Omogućena je vidljivost do aplikativnog nivoa te primjena pravila do razine pojedinog korisnika (usera, odnosno njegove role). Pored naprednih metoda upravljanja prioritetima za potrebe osiguranja kvalitete usluge (QoS), ključna je i sigurnosna komponenta u smislu primjene firewall pravila i kontrole sadržaja (content filtering). Sve ove funkcije se primjenjuju već na samom rubnom dijelu mreže (switchu ili access pointu).

Od čega se sastoji Aruba SD-Branch?

Postoje četiri osnovne komponente koje čine suštinu SD-Branch koncepta:

1) „On-premise“ komponenta

 • Branch Gateway – baziran na hardverskoj platformi Aruba 7000 serije kontrolera
 • Aruba-OS switch
 • Instant Access Point

2) Datacentar komponenta

 • Headend Gateway – baziran na Aruba 7000 i 7200 serijama kontrolera, a obavlja uloga VPN koncentratora

3) Virtual Gateway – virtualna instanca VPN koncentratora smještena u Amazon AWS javnom oblaku

4) Aruba Central – native cloud (SaaS) platforma za upravljanje i nadzor

Na koji način radi?

S obzirom na veliku skalabilnost SD-WAN sistema, postoje razne varijante izvedbe i nivoa složenosti. Kako bi jednostavnije objasnili koncept, možemo se poslužiti dijagramom „Aruba Solution Overview“ (gornja slika). Na svakoj udaljenoj lokaciji (područnom uredu) postavljen je jedan Branch Gateway (1) koji u LAN segmentu skuplja kompletan promet bilo da se radi o fiksnim (LAN) klijentima spojenima direktno na switcheve ili o bežičnim (WLAN) klijentima spojenima u mrežu putem access point uređaja. Uloga Branch Gateway-a osim samog rutiranja prometa prema različitim destinacijama (putem predefiniranih pristupnih WAN linkova – MPLS, ADSL, LTE…) jest i primjena raznih pravila (policy-a) u ulozi firewall-a, profiliranje klijenata i dodjela uloga (role-based profiling), filtriranje sadržaja (content filtering), upravljanje prioritizacijom prometa (QoS) u odnosu na vrstu prometa i kvalitetu pojedinog WAN linka, itd.

Svaki Branch Gateway uspostavlja siguran, kriptovan IPSec tunel do Headend Gateway-a (2) koji je smješten na centralnoj lokaciji, odnosno data centru kompanije i djeluje kao VPN koncentrator za sve udaljene lokacije. Topologija mreže može varirati pa se tako mogu koristiti na primjer primarna i sekundarna (backup) centralna lokacija tj. 2 datacentra u kojima se nalaze 2 fizički dislocirana Headend Gateway-a za potrebe redundancije (High Availability). Ukoliko kompanija nema vlastiti fizički datacentar, ima opciju korištenja virtualnog headend gateway-a (3) koji je smješten u Amazon AWS cloudu. Kompletno upravljanje, nadzor, konfiguracija, kreiranje raznih policy-a, orkestracija gateway-a, itd. radi se sa jedne centralne tačke – Aruba Central (4).

Zaključak

SD-WAN, kao potkategorija Software Defined Networking tehnologije, je zapravo prirodni slijed razvoja L3 privatnih enterprise (VPN) mreža koje se ostvaruju pomoću pristupnih linkova pružatelja usluga. Za razliku od klasičnog scenarija gdje su te mreže većim dijelom ovisile o vrsti opreme, linkova i intervenciji određenog service providera, SD-WAN razdvajanjem kontrolnog (odnosno upravljačkog sloja) od samog hardverskog (tj. podatkovnog) sloja, unosi daleko veći stupanj fleksibilnosti, a korisnici postaju potpuno nezavisni o provajderu, hardveru i vrsti pristupa.

Aruba nadalje ne ostaje samo na SD-WAN segmentu, nego dodaje i mogućnost upravljanja udaljenim lokalnim mrežama do razine aplikacije koju određeni klijent koristi, pa tako dobivamo moderan SD-Branch koncept koji predstavlja budućnost komunikacije između geografski dislociranim uredima neke kompanije.

Na kraju, uz sve spomenute tehničke prednosti, te fleksibilnost i učinkovitost upravljanja valja istaknuti i činjenicu kako s ovim pristupom imamo mogućnost znatno optimizirati troškove u mrežnom segmentu.

Ukoliko vas zanimaju detalji, želite osigurati demo opremu, ili vam treba pomoć oko postavljanja demo scenarija (POC), rado ćemo Vam pomoći. Kontaktirajte nas!

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!