ما هو SD-WAN

ما هو SD-WAN 

بداية تعريف ب Software Defined Network

أجهزة الشبكات بمختلف أشكالها routers, switches, wireless access points وبعيدا عن مبدأ عملها ووظيفتها تقوم بتمرير الرسائل المرسلة من قبل الأجهزة المستخدمة للشبكة اعتمادا على جداول تمرير forwarding tables تقوم ببناء هذه الجداول بنفسها من خلال بروتوكولات تعمل على هذه الأجهزة، وتصنف هذه البروتوكولات بأنها ضمن مهام control plane.

تقنية  SDN وهي الشبكات المعرفة بالبرمجيات، أي أنها الشبكات التي تقودها أنظمة برمجيات لأداء وظائفها حيث أن أجهزة الشبكات تقاد من خلال برمجيات تسمى controller تعمل هذه الأخيرة على بناء الجداول اللازمة من لتمرير الرسائل لمختلف أجهزة الشبكة، بالاضافة لامكانية لتغيير اعدادات أجهزة الشبكة network devices configuration.

من هنا يبدأ تغيير النمط التقليدي لبناء وتكوين الشبكات من خلال تبني تقنية SDN وهذا يؤدي لنتائج ايجابية أفضل يمكن الاستفادة منها وخصوصا مع تطور أنظمة مراكز البيانات واستخدام تقنيات جديدة مبنيّة على virtualization.

تعريف SD-WAN

يمكن تطبيقSDN  في عدة مجالات منها خطوط WAN التي تربط مختلف مواقع الشركة معاً سواء بخطوط اتصال عبر تقنيات WAN التقليدية أو التقنيات الحديثة مثل MPLS أو VPN. فالكثير من الشركات باتت تملك عدة خيارات تربط مختلف فروع الشركة من بعضها البعض بحيث يكون خطوط بديلة بين الفروع لرفع التوافرية availability.

يتيح SDN الاستخدام الأمثل لخطوط الـ WAN فعلى سبيل المثال، يمكن تحديد تطبيق application معين ليسلك  WAN connection رقم 1، وتطبيق آخر ليسلك مسار عبر WAN connection رقم 2. كما يمكن تطبيق أمثل لل QoS لمختلف التطبيقات وتوزيع bandwidth بينها على خطوط WAN.

الـ SDN لم تأتي بجديد حيث يمكن تطبيق QoS وتحديد أولويات حسب التطبيق وتحديد نسبة الاستهلاك لسعة القناة لكل تطبيق قبل وجود SDN. لقد كان العمل مضنيا عند انشاء وتفعيل السياسات الخاصة بـ QoS ويحتاج لساعات طويلة من العمل.

الأمر الذي الذي اضافه SDN هو سهولة والبساطة لتطبيق تلك السياسات وكذلك سهولة تصنيف التطبيقات، بحيث يمكن انشاء كل كذلك على جهاز controller عن طريق واجهة GUI وتنفيذ هذه الاعدادات على عدد كبير من أجهزة الشبكات  عن طريق السحب والافلات drag and drop، نعم يمكن عمل اعدادات معقدة على أجهزة الشبكات عن طريق drag and drop، ويمكن تعديل هذه الاعدادات لاحقا عن طريق نفس الطريقة.

بروتوكول 802.1X

ما هو 802.1X

نحتاج في الشبكات لتطبيق وظيفة للتحقق (authentication) سواء للمستخدمين (users( أو للأجهزة  )machines( لضمان توفير حماية للشبكات والمصادر والتطبيقات العاملة من خلال الشبكات.

يوفر(802.1X( إطار عمل )framework( لأداء عملية التحقق (authentication) من المستخدم أو الجهاز أو كلاهما قبل الدخول واستخدام الشبكة. يتميز(802.1X( عن غيره من البروتوكولات أو الطرق الأخرى التي تؤدي نفس الوظيفة بأنه يوفر آليات مختلفة يمكن استخدامها كأساليب لعمل التحقق، فيمكنه اداء ذلك عن طريق استخدام آلية ثنائية اسم الاستخدام مع كلمة السر (username/password)، أو عن طريق استخدام الشهادات الرقمية )digital certificates( أو باستخدام كلمة سر لمرة واحد (One Time Password OTP(.

يصنف (802.1X( بأنه )port-based authentication( كونه لا يتيح لجهاز المستخدم من الاتصال بالشبكة والحصول على الاعدادات الرئيسية لاستخدام الشبكة إلا بعد انجاز عملية التحقق (authentication) بنجاح.

يعتبر (802.1X( من الاساليب التي تحكم السيطرة على الاتصال بالشبكة ومصادرها بحيث يكون متاح خيارات أخرى في حال فشلت عملية التحقق )authentication failed( مثل حجر)block( جهاز مستخدم أو تحديد صلاحيات المستخدم وتقييد الوصول لمختلف أجزاء الشبكة بأن نجعل بالامكان الوصول لشبكة الانترنت دون الشبكات والخوادم الداخلية.

عناصر 802.1X

يوجد ثلاثة عناصر رئيسية تشكل عمل (802.1X( وهي:

-         Supplicant: وهو جهاز (client) الذي يريد الاتصال بالشبكة عن طريق الشبكة العادية (wired network( أو الشبكات اللاسلكية )wireless network(

-         Authenticator: وهو جهاز الشبكة )network device( سواء جهاز السويتش )switch) أو جهاز الشبكات اللاسلكية )wireless access point) والذي يشكل نقطة اتصال جهاز المستخدم بالشبكة.

-         Authentication Server: وهو جهاز الخادم الذي يحتوي على قاعدة بيانات المستخدمين وقد يملك ايضاً تعريف الصلاحيات المحددة للمستخدمين )authorization) وقد يشمل ايضاً امكانية تتبع الاحداث التي قام بها المستخدمين (accounting(.

يقوم جهاز (authentication) بارسال طلب اثبات الهوية للمستخدم عند وصل جهاز المستخدم بالشبكة، ليقوم بعدها بارسال بيانات الاثبات المستلمة من المستخدم باتجاه جهاز الخادم. ويتواصل جهاز(authenticator( مع الخادم )authentication server( من خلال بروتوكول )RADIUS(، بينما يستخدم بروتوكول )EAP( للتواصل مع جهاز )supplicant(.

آلية عمل 802.1X

يكون وضعية المنفذ في جهاز الشبكة (authenticator( بوضعية )unauthorized port( أي لا يمكن للمستخدم من الاثصال بالشبكة.

يستخدم بروتوكول )Extensible Authentication Protocol EAP( لغرض إتمام عملية التحقق من المستخدم ويعمل بروتوكول )EAP( بين الطرفين (authenticator( و )supplicant( حيث تغلف البيانات المرسلة بين الطرفين والخاصة ببروتوكول )EAP( مباشرة بغلاف الطبقة الثانية (layer 2 frame( كون جهاز المستخدم لا يملك عنوان للطبقة الثالثة )IP address(.

يستخدم بروتوكول )EAP( العديد من الرسائل التي توفر امكانيات مختلفة منا طلب الدخول للشبكة، ورسالة لاجابة الطلب، ورسالة لطلب الخروج من الشبكة. وجميع هذه الرسائل ترسل بين الطرفين بدون تشفير للبيانات المرسلة (clear text).

يقوم جهاز(authenticator( بنقل البيانات المستلمة من جهاز المستخدم )supplicant( والمتعلقة بعملية (authentication) ويرسلها إلى جهاز الخادم (authentication server) بواسطة بروتوكول (RADIUS) ويكون التراسل بين الطرفين هنا بتغليف كامل (L4-L3-L2(. يقوم جهاز(authenticator( بتغليف رسائل  (EAP)( داخل رسائل  )RADIUS(.

1-     عند وصل جهاز المستخدم بجهاز الشبكة - سواء الشبكة السلكية أو اللاسلكية – يقوم جهاز الشبكة (authenticator( بارسال رسالة (EAP Request/Identity) لجهاز المستخدم)supplicant(

2-     يقوم جهاز المستخدم بارسال الرد (EAP Response/Identity( لجهاز الشبكة (authenticator( للدلالة على أنه يدعم بروتوكول)EAP( وقدرته على التجاوب مع هذه الرسائل.

3-     يقوم جهاز الشبكة بتمرير بيانات الدخول إلى جهاز الخادم لاجراء عملية التحقق من هوية المستخدم بواسطة بروتوكول  )RADIUS(.

4-     يقوم جهاز الخادم بارسال رسالة اختبار (challenge) لجهاز(authenticator( والذي بدوره يمررها لجهاز المستخدم من أجل اثبات هوية المستخدم.

5-     يقوم جهاز المستخدم بارسال بيانات الدخول والمعرفة مسبقاً – إن وجدت.

6-     يقوم جهاز الخادم بالرد إلى جهاز الشبكة والذي يتضمن القبول أو الرفض، وكذلك الاعدادات المرتبطة بنتيجة الرد ومنها على سبيل انشاء (dynamic ACL) تحكم وصول المستخدم للشبكة في حال قبول المستخدم وعدم حجبه عن الشبكة. عند قبول السمتخدم يتحول وضعية المنفذ إلى )authorized port(.

عند خروج المستخدم من الشبكة يقوم جهاز المستخدم بارسال رسالة (EAP logoff) حيث يعود وضعية المدخل )unauthorized port).