Laajaverkkojen uusi kuningas?

Ohjelmisto-ohjattu (SD, Software Defined) on päivän taikasana infrastruktuurin rakentamisessa. Löytyy ohjelmisto-ohjattua lähiverkkoa, laajaverkkoa, konesalia ja tietoturvaa. Kaikkia näitä yhdistää tavoite saada tekemisestä älykkäämpää, nopeampaa, yksinkertaisempaa, näkyvämpää ja kustannustehokkaampaa. Ohjelmisto-ohjautuvuuden avulla infrastruktuuri pystyy vastaamaan modernin organisaation digitalisaatiotekemiseen ja sitä kautta tukemaan liiketoiminnan kriittisiä prioriteetteja.

Yksi vahvasti pinnalla olevista ohjelmisto-ohjautuvuuden muodoista on laajaverkko. SD-WAN (Software Defined Wide Area Network) on saavuttanut hype-käyrällä aseman, joka nopealla tahdilla edistää sen käyttöönottoa yritysten laajaverkkojen veturina perinteisen MPLS-tekniikan (Multiprotocol Label Switching) rinnalla. Koska SD-WAN on monen huulilla, mutta erityisesti rapakon takaa operoivien valmistajaorganisaatioiden lupaukset “viidestä hyvästä ja kuudesta kauniista” ei ihan kaikissa käyttötapauksissa tule esille, pureudutaan hieman tarkemmin siihen mistä on oikein kysymys.

SD-WAN -teknologia pohjautuu kerrosmaiseen ajattelutapaan. Siinä muodostetaan pohjakerros (underlay), jonka päällä pyöritetään käyttäjäsegmenttejä (overlay). Puhutaan, että SD-WAN on yhteysriippumaton (transport independent), joka tarkoittaa, että pohjakerroksen rakentamiseen voidaan hyödyntää mitä tahansa tekniikoita, joiden avulla voidaan välittää IP-liikennettä. Näin monessa tapauksessa toimipisteen yhteys toteutetaankin esimerkiksi kiinteiden MPLS-/Internet-liittymien tai kiinteän MPLS-/Internet-liittymän ja langattoman mobiililiittymän avulla. Kun IP-tason yhteys on muodostettu reunareitittimien kesken, käyttäjäsegmenttien liikenne välitetään tyypillisesti IPSec (Internet Protocol Security) -tunneleiden kautta.

Koska SD-WAN on “ohjelmoitava”, kaikesta verkon toiminnasta huolehtii erillinen kontrolleriohjelmisto. Näiden toteutus vaihtelee valmistajakohtaisesti, mutta tyypillisesti tarvitaan muutama eri ohjelma, jotta kokonaisuus on kunnossa. Näihin kuuluvat “automaatio-osuus”, jonka tehtävänä on verkon laitteiden hallinta ja konfigurointi, sekä “näkyvyysosuus”, jonka tehtävänä on kerätä tietoa verkkolaitteilta sekä jalostaa sitä erilaisiksi näkymiksi ja raporteiksi. On tärkeää huomata, että tämä muuttaa kokonaan ajatusmallin verkon operoinnista. Sen sijaan, että pelattaisiin yksittäisten laitteiden kanssa, voidaan esimerkiksi massakonfiguroida kaikkiin verkkolaitteisiin vaikkapa uudet palvelunlaatumääritykset yhdellä kertaa.

SD-WAN -teknologioille on määritetty nippu käyttötapauksia, jotka toimivat vaihtelevasti Suomen olosuhteissa. Näihin kuuluvat kustannussäästöt, älykäs kuorman jakaminen, suorat Internet-yhteydet, suorat pilviyhteydet, näkyvyys, sekä nopea käyttöönotto. Osittain nämä menevät päällekkäin, mutta katsotaan seuraavaksi vähän tarkemmin kutakin.

Isoimpana SD-WAN -hyötynä tuodaan perinteisesti esille kustannussäästöt. Globaalista näkökulmasta tämä pitää erinomaisesti paikkansa, sillä esimerkiksi kaikilla mantereilla toimivan organisaation laajaverkon toteuttaminen perinteisellä MPLS-teknologialla on erittäin arvokasta. Jos MPLS VPN -yhteyksien sijasta voidaan hyödyntää paikallisia, edullisia Internet-yhteyksiä pohjakerroksen muodostamiseen, säästö voi olla erittäin merkittävä. Suomessa tilanne on kuitenkin toinen. Voimakas kilpailu operaattoreiden kesken on ajanut markkinan tilanteeseen, missä MPLS- ja Internet-yhteyden hinta on samalla hehtaarilla. Kotimaassa toimivalla yrityksellä kustannussäästöä on vaikea saada – itse asiassa kun lasketaan laitteet, lisenssit ja palvelu päälle, SD-WAN voi olla jopa kalliimpi, kuin perinteinen MPLS-verkko. Tosin tässä on huomattavaa, että SD-WAN tuo uusia ominaisuuksia ja mahdollisuuksia, joten lisäpanostuksen kannattavuutta pitää jokaisen heijastella omaa ympäristöään vasten.

Älykäs kuorman jako tarkoittaa mahdollisuutta tunnistaa verkossa kuljetettavat sovellukset ja määrittää ne välitettäväksi eri polkuja pitkin. Esimerkiksi liiketoimintakriittiset sovellukset voidaan ajaa kiinteän (MPLS) yhteyden kautta kun taas Internet-surffailu ohjataan joko kiinteään tai mobiiliin Internet-yhteyteen. Tässä suurimpana etuna on hyödyntää kaikkia yhteyksiä samanarvoisesti. Perinteisessä tekniikassa kun tyypillisesti kaikki liikenne kulkee pääyhteydellä ja ainoastaan vikatilanteissa käytetään varayhteyksiä. Vaikka niistä maksetaankin, on liikenteen ohjaaminen perinteisesti niin haastavaa, että sitä ei ole tehty.

Edelliseen liittyvät vahvasti myös suorat Internet-yhteydet. Tällä tarkoitetaan tilannetta, missä Internet-liikenne ohjataan “suoraan” Internetiin jo (sivu)toimipisteen liittymästä sen sijaan, että kaikki Internet-liikenne kierrätettäisiin ensin MPLS-yhteydellä organisaation keskustoimipisteeseen, josta se ohjataan palomuurin kautta ulkomaailmaan. Tällä tavoitellaan erityisesti parempaa käyttäjäkokemusta mahdollisesti paremman kapasiteetin ja pienemmän viiveen näkökulmasta.

Ominaisuuden käyttämisessä on kaksi huomioitavaa asiaa. Ensinnäkin, mikäli liikenne ohjataan suoraan Internetiin jo toimipisteestä, tulee jokaisessa toimipisteessä olla riittävät tietoturvamekanismit – vähintään nykyaikainen palomuuri – käytössä. Nykyaikaiset SD-WAN -ratkaisut kyllä tämän tarjoavat, mutta niiden hallinta ja valvonta voivat myös aiheuttaa omat haasteensa. Toinen seikka on jälleen maantieteellinen. Mikäli kaikki toimipisteet ovat Suomessa, ei suorituskykyetua synny, sillä maamme ulkomaille johtavat Internet-yhteydet ovat pääsääntöisesti pääkaupunkiseudulla ja sen vuoksi liikenne maakunnista kiertää kuitenkin sen kautta. Myöskään kapasiteetin kustannus ei ole ongelma, sillä kuten todettua, Internet- ja MPLS-kapasiteetin hinta on samoilla tasoilla. Ainoastaan ulkomailla toimiville organisaatioille suorat Internet-yhteydet voivat tuottaa lisähyötyjä paremman käyttäjäkokemuksen kautta.

Suorat pilviyhteydet ovat suoran Internet-yhteyden erikoistapaus. Tässä voidaan erottaa kaksi kokonaisuutta. Toinen on SaaS-sovellukset (Software as a Service) ja toinen IaaS- tai PaaS-pilvet (Infrastructure/Platform as a Service). SaaS-palveluiden osalta tilanne on sama, kuin suorilla Internet-yhteyksillä. Tämä johtuu siitä, että suuri(n) osa SaaS-pilvistä sijaitsee maailmalla ja tämän vuoksi Suomessa toimiva yritys ei saa suorista yhteyksistä suorituskykyetua. Sen sijaan maailmalla toimivien yritysten osalta käyttäjäkokemus voi parantua merkittävästikin suorien SaaS-yhteyksien kautta.

IaaS- ja PaaS-pilvet ovat sitten vähän eri juttu. Perinteinen malli liikenteen kuljettamiseen näihin on organisaation keskipisteestä toteutettu VPN-yhteys (Virtual Private Network) tai erityisesti tätä käyttöä varten rakennettu L2/L3-yhteys. Jälkimmäisestä esimerkkejä ovat Azuren ExpressRoute tai AWS:n DirectConnect. Eri valmistajien SD-WAN -toteutuksiin on saatavilla virtuaalireunalaite, joka voidaan asentaa pilviympäristöön ja sitä kautta tuottaa täysin kytketyt yhteydet pilven resurssien ja toimipisteiden kesken. Jälleen kerran tulee kysymys, onko tästä hyötyä Suomessa, mutta ainakin globaaleissa ympäristöissä edut ovat selkeät.

Näkyvyys on keskeinen osa SD-WAN -tuotteita. Näkyvyydellä tarkoitetaan tyypillisesti verkon ja yhteyksien tilan, sekä sovellusliikenteen näkyvyyttä. Käytännössä tuotteet tarjoavat hyvin laaja-alaisen ja yksityiskohtaisen näkymän kaikkeen edellä mainittuun. Hyvän näkyvyyden etuna on ymmärrys, miten verkko toimii, minkälaista palvelua se tuottaa, sekä mahdollisuus ennakoivien huolto-/päivitystoimenpiteiden tekemiseen.

Nopea käyttöönotto on tyypillisesti sisäänrakennettu ohjelmisto-ohjattuihin tuotteisiin. Käytännössä tällä tarkoitetaan Plug’n’Play tai Zero Touch Provisioning -nimillä kulkevaa ominaisuutta, jossa toimipisteeseen asennettavaan verkkolaitteeseen ei tarvitse tehdä mitään valmistelutoimenpiteitä. Kun laite kytketään verkkoon, se ottaa yhteyttä kontrolleriohjelmistoon, joka määrittää sen tarvitseman konfiguraation verkon ylläpitäjän ohjauksesta. Kun tähän yhdistetään mahdollisuus käyttää mobiililiittymiä osana ratkaisua, saadaan esimerkiksi valmiiksi palveluntarjoajan hyllyssä oleva laite käyttöön uudessa toimipisteessä muutamassa päivässä. Tässä on suuri ero perinteiseen maailmaan, missä tyypillinen aikataulu uuden toimipisteen yhteyden rakentamiselle lasketaan viikoissa.

Kuten edellisistä käyttötapauksista huomataan, on SD-WAN -tekniikalle käyttöä niin maamme rajojen sisä- kuin ulkopuolella. Jokaisen hankkeen osalta on kuitenkin tärkeää käydä läpi käyttötapaukset ja pohtia niiden merkitys ja arvo omalle toiminnalle. Monessa tilanteessa perinteinen MPLS-verkkototeutus on aivan riittävä ratkaisu organisaation laajaverkon toteuttamiseen. Joissakin tapauksissa SD-WAN toimii MPLS-tekniikan täydentäjänä esimerkiksi parempien kuormanjako-ominaisuuksien vuoksi. Ja joissakin tapauksissa ei vanhaa edes kannata harkita, vaan todeta suoraan, että SD-WAN on meidän verkkomme uusi kuningas.

Kirjoittanut

Aki Anttila työskentelee Elisa Santa Monicalla infrastruktuurievankelistana.