CISCO SD-WAN ( 2 )

Güvenli doğrudan internet erişimi ; Geleneksel geniş alan ağlarında , bir şube sitesinden gelen internet trafiği , veri merkezi veya bölgesel hub
sitesi gibi merkezi konuma gönderilir. Bu , internetten dönen trafiğin şubeye geri gönderilmeden önce güvenlik yığını tarafından
temizlenmesini sağlar. Geleneksel olarak , her yerde güvenlik yığını dağıtmanın yüksek maliyeti nedeniyle bu yapılır. İnternet trafiğine olan
talep arttıkça , daha fazla şirket SaaS ve IaaS gibi bulut hizmetleri kullanılmaktadır. Daha fazla uygulama internet tabanlı , daha fazla işletme
çalışanı uzaktan çalışıyor ve Nesnelerin İnterneti ( IoT ) cihazları da bant genişliği talep ediyor. Trafiğin internet erişimi için merkezi siteye geri
yüklenmesi , merkezi sitede bant genişliği kullanımının artmasına neden olur. Bunun nedeni ; internete erişmeden önce trafiğin merkezi siteye
tünellenmesi gerektiğidir. Bu da şubeden merkezi siteye giden premium bant genişliğini tüketebilir. Merkezi sitedeki güvenlik yığını ve ağ
cihazlarının , şubelerden gelen bant genişliğini barındırması gerekir. Uygulamalarda gecikme süresi artarsa uygulama performansının
düşmesine neden olur.

Doğrudan İnternet Erişimi ( Direct Internet Access ) ; Trafiği merkezi siteye geri çekmedeki gecikmeyi ortadan kaldırarak şube kullanıcıları için
internet deneyimini iyileştirir. Merkezi sitede bant genişliği tüketimini azaltarak WAN maliyetlerini de azaltır. Cisco SD-WAN DIA çözümü
güvenlidir ve uygulanması kolaydır. DIA , belirli uygulamalar için yapılandırılmıştır ve iş açısından kritik uygulamaları premium WAN
bağlantılarında tutar. İnternette gezinme ve SaaS uygulamaları için DIA etkinleştirilebilirken , ses gibi iş açısından kritik veya gecikmeye duyarlı
uygulamalar özel WAN devrelerinde kalabilir. Cisco SD-WAN çözümünün özü , kullanıcıları segmentlere ayırma yeteneğidir. Segmentasyon ,
çalışanları ve misafirleri ayrı tutmak için yararlıdır. Cisco SD-WAN , DIA'nın VPN segmenti için yapılandırılmasına izin vererek , VPN segmenti
bazında internet erişiminin kontrolüne izin verir. Kullanıcılar ve şube ağı , Cisco SD-WAN güvenlik özellikleri uygulanarak internetten
korunabilir. Güvenlik özellikleri , uygulamaya duyarlı güvenlik duvarı , izinsiz giriş koruması , URL filtreleme , Gelişmiş Kötü Amaçlı Yazılım
Koruması ve DNS güvenliğini içerir. Bu güvenlik özellikleri , WAN Edge yönlendiricinin kendisinde veya entegre üçüncü taraf güvenlik hizmeti
olarak dağıtılabilir.

Güvenlik politikaları ; Cisco SD-WAN ile şube , konuk kullanıcıların veya çalışanların doğrudan internete erişmesine izin verebilir ve bu da
şunlara yardımcı olmaktadır ; Uygulama deneyiminin iyileştirilmesi. Premium WAN bağlantılarından internet trafiğini boşaltmak. Uygulamaya
duyarlı güvenlik duvarı , URL filtreleme , IPS / IDS , Gelişmiş Kötü Amaçlı Yazılım Koruması ( AMP ) , DNS güvenliğini içeren yerleşik güvenlik
özellikleri sağlayarak , her yerde güvenlik araçlarına olan ihtiyacı azaltmak.

Misafir erişimi ; Konuk erişimi için güvenlik , doğrudan WAN Edge yönlendiricisinde veya DIA trafiğini bulut güvenlik sağlayıcısı aracılığıyla
yönlendirerek etkinleştirilebilir.

Konuk DIA trafiği için temel öncelikler şunlardır ; Belirli internet hedeflerine erişimi kısıtlamak. Ağı kötü amaçlı yazılımlardan veya kötü amaçlı
içerikten koruma. Konuklar için bant genişliği kullanımını kısıtlama.

Konuk cihazlardan internete olan trafiği denetlemek için WAN Edge yönlendiricide uygulamaya duyarlı güvenlik duvarı etkinleştirilebilir.

URL filtreleme , konuk trafiğinin internetteki belirli hedeflere erişmesini kısıtlamak için WAN Edge yönlendiricisinde çalışır.

Bulut güvenlik sağlayıcısı aracılığıyla misafir erişimi ; Müşteri , şube yönlendiricisinde SD-WAN güvenliğini etkinleştirmek yerine internete
bağlı trafiği bulut güvenlik sağlayıcısına yönlendirmeyi de seçebilir. Konuk segmentinden kaynaklanan trafik , noktadan noktaya ( IPSec veya
GRE ) tüneller aracılığıyla bulut güvenlik sağlayıcısına yönlendirilir. Bu durumda , bulut güvenlik sağlayıcısı , DIA trafiği için gerekli güvenlik
filtrelemesini sağlar.

Çalışan erişimi ; Misafir erişiminde olduğu gibi çalışanlar SD-WAN güvenliğini etkinleştirerek kısıtlanmış internet hedeflerine erişebilir.

Çalışan trafiği için temel öncelikler şunlardır ; Belirli internet hedeflerine erişimi kısıtlamak. Çalışanların kötü amaçlı yazılım veya kötü amaçlı
içerik indirmesini algılama / önleme.

Uygulamaya duyarlı güvenlik duvarı ve URL filtrelemenin yanı sıra , WAN Edge yönlendirici , çalışanların internetten kötü amaçlı içerik
indirmesini önlemek için IPS / IDS ve AMP gibi gelişmiş güvenlik özellikleriyle etkinleştirilebilir. WAN Edge yönlendirici IPS ile etkinleştirilerek
internetten gelen kötü niyetli paketlerin çalışan segmentine girmesini engeller.
AMP özelliğinden yararlanan WAN Edge yönlendirici , dosya itibarını kontrol ederek çalışanın internetten kötü amaçlı dosya indirmesini
önleyebilir. Dosya itibarı bilinmiyorsa ve korumalı alan gerekliyse , WAN Edge yönlendirici arka planda Cisco Threat Intelligence ( CTI ) ile
konuşur. IPS / IDS ve AMP özelliklerinin , gerekirse konuk erişimi kullanım durumunda da kullanılabileceğini hatırlayalım.

Güvenlik izleme ; Cisco vManage panosu , DIA trafiği için çeşitli faktörleri izlemek için kullanılabilir. Ayrı cihazlar için arayüz bant genişliği ,
uygulama kullanımı , gerçek zamanlı akış bilgisi ve NAT çevirileri gibi faktörler izlenebilir. Güvenlik panosu , DIA trafiği için etkinleştirilen
güvenliğin çeşitli yönlerini görüntüleyebilir. Herhangi WAN Edge yönlendiricisi için Monitor > Network > Device > Real Time görüntülenerek
vManage aracılığıyla belirli oturum bilgileri elde edilebilir. Diğer güvenlik özellikleri için de benzer bilgiler alınabilir.

SaaS optimizasyonu ; Kurumsal veri merkezlerinde barındırılan geleneksel iş uygulamaları , bulut tabanlı hale gelmekte ve Hizmet Olarak
Yazılım ( SaaS ) olarak teslim edilmektedir. SaaS uygulamalarına erişim , internet erişimine bağlıdır. Düzgün tasarlanmış internet çıkış noktaları
, SaaS uygulamalarını kullanırken optimum kullanıcı deneyimi sağlamada çok önemli rol oynar. Ne yazık ki , mevcut geniş alan ağlarının çoğu
, bulut düşünülerek oluşturulmamıştır. İnternete bağlı trafik genelde kurumsal veri merkezleri aracılığıyla gönderilir. Aksi takdirde geri taşıma
veya düzeltme olarak da bilinir. Bu merkezi internet erişim metodolojisi , geleneksel olarak sadece veri merkezlerinden sunulan internete
bağlı trafik için güvenlik kontrolleri sağlama ihtiyacından kaynaklanmaktadır. Bulut erişimi için veri merkezlerinin kullanımı birkaç önemli
verimsizliğe sahiptir ; Yüksek uygulama ve ağ gecikmesi. Veri merkezi bant genişliği aşırı tüketimi. Tek hata noktası.

SaaS uygulamalarına erişimin yanı sıra güvenlik kontrollerinin bulut erişimi için veri merkezlerine bağlı olmadığı farklı bir bulut stratejisinin
benimsenmesi gerekiyor.

Cloud onRamp For SaaS ; Hizmet Olarak Yazılım ( SaaS ) uygulamalarının tüketimi son yıllarda artmıştır. Cisco SD-WAN çözümü , bu
uygulamaları tüketirken optimum kullanıcı deneyimi sağlamak için ağ zekası sunar. Cisco SD-WAN çözümünde buna Cloud onRamp for SaaS
denir. Optimum SaaS uygulama deneyimi sağlamak için en iyi performans gösteren internet çıkış noktasına giden yolu belirleme ve tasarlama
zorluğunun üstesinden gelmek zorunlu hale gelmiştir. Cisco SD-WAN Cloud onRamp for SaaS , her site için şunları yaparak bunu başarmaktadır
; Siteleri tanımlar. SaaS uygulamalarını keşfeder. SaaS uygulama performansını belirler. SaaS uygulama trafiğini en iyi performans yolu
boyunca yönlendirir. Deneyim Kalitesi ( vQoE ) puanlarına ilişkin raporlar.

SaaS için Cloud onRamp , SaaS uygulama erişimini çeşitlendirmek için bölgesel ortak yerleşim olanaklarını da içerebilir. Uzak sitedeki bir veya
daha fazla doğrudan bulut erişim noktası ile ortak yerleşim tesislerinde bölgesel bulut erişim noktası arasında seçim yapılarak yapılır.

Siteleri tanımlama ; Cloud onRamp for SaaS çözümüne katılmak üzere seçilen siteler , şu işlevlerden birine sahip olacak şekilde belirlenir ;

• DIA siteleri ; Yerel kullanıcılar için doğrudan bulut erişimine sahip siteler.

• Ağ geçidi siteleri ; Ağ geçidi görevi gören bulut erişimi olan siteler. DIA siteleri , doğrudan bulut erişiminde performansın düşmesi durumunda
SaaS uygulama trafiğini yönlendirmek için ağ geçidi sitelerini kullanabilir.

• İstemci siteleri ; Doğrudan bulut erişimine sahip olmayan sitelerdir. Optimum SaaS uygulamaları yönlendirmesi için sadece ağ geçidi
sitelerine güvenirler.

Ortak yerleşim merkezleri , çeşitli telekomünikasyon , ağ ve bulut hizmeti sağlayıcılarına doğrudan bağlanma esnekliği sağlayarak , maliyet
tasarrufu sağlarken SaaS erişimi sağlamak için ağ geçidi siteleri olarak kullanılabilir. Cloud onRamp for Colocation çözümü , Cisco vManage'de
düzenlenen ve ortak yerleşim tesisinde bir kümeye dağıtılan farklı VNF hizmet zincirlerinin oluşturulmasına olanak tanır.

SaaS uygulamaları ; Cloud onRamp for SaaS , birkaç popüler SaaS uygulaması için en iyi deneyimi sağlar. Bir dizi popüler SaaS uygulaması ,
daha yüksek kullanılabilirlik ve son müşterilere daha iyi yakınlık için farklı coğrafi konumlardaki dağıtılmış bulut hizmeti sağlayıcı veri
merkezlerinde barındırılmaktadır. Microsoft Office 365 böyle bir uygulamadır. Cisco SD-WAN çözümü , Office 365 hizmetinin konumunu ( IP
adreslerini ) proaktif olarak keşfetmek için kuruluma katılan WAN Edge yönlendiricilerinden DNS çözünürlüğünü kullanır. DNS çözümlemesi ,
Office 365 hizmetinin IP adresi değişikliklerine uyum sağlamak için periyodik olarak tekrarlanır.

SaaS uygulama performansını belirleme ; Cloud onRamp for SaaS'a katılan WAN Edge yönlendiricileri , Office 365 hizmetinin keşfedilen IP
adreslerinin Güvenli Hiper Metin Aktarım Protokolü ( HTTPS ) isteklerini kullanarak sürekli olarak kalite araştırması gerçekleştirir. Bu kalite
araştırmaları , son istemci uygulama isteklerini yakından simüle eder. WAN Edge yönlendiricilerinin son kullanıcıların deneyimlediği uygulama
kalitesini keşfetmesine olanak tanır. SaaS uygulamalarının performansını belirleme süreci , tüm doğrudan bulut erişim yollarındaki DIA
sitelerinde ve bölgesel SaaS ağ geçidi sitelerinde gerçekleştirilir. WAN Edge yönlendiricileri , HTTPS kalite araştırmaları tarafından algılanan
kayıp ve gecikme özelliklerine dayalı olarak SaaS uygulamalarına yönelik en iyi performans gösteren yolu belirler. SaaS uygulamalarına
erişmek için ağ geçidi sitesi kullanan uzak siteler için en iyi performans gösteren yol , uzak siteden ağ geçidi aracılığıyla SaaS uygulamasına
giden tüm yolun performansı ölçülerek hesaplanır.

SaaS uygulama trafiğini en iyi performans gösteren yol boyunca yönlendirme ; WAN Edge yönlendiricileri , derin paket denetimi ( DPI ) olarak
da bilinen yerleşik uygulama tanıma özelliklerinden yararlanarak uygulamaları algılar. DPI motoru 1000'den fazla uygulamayı ve uygulama alt
kategorilerini tanımlayarak sınıflandırabilir. Örneğin ; Microsoft uygulama grubu Exchange , Sharepoint , OneDrive , Skype vb. içerir. WAN
Edge yönlendiricileri , bir kez tanındığında , en iyi uygulama kalitesi deneyimiyle yol boyunca SaaS uygulama trafiğini yönlendirir. Bu yol , yerel
sitedeki doğrudan internet erişim devrelerinden biri veya SD-WAN yapısı boyunca bölgesel SaaS ağ geçidi aracılığıyla olabilir. Kalite araştırması
süreci süreklidir ve performans özelliklerinde değişiklik meydana gelirse , uzak sitedeki WAN Edge yönlendirici , seçilen SaaS uygulamaları için
yüksek kaliteli deneyimi sürdürmek için uygun yönlendirme kararı alabilir.

Deneyim kalitesi ( vQoE ) puanları hakkında rapor oluşturma ; SaaS uygulamalarını kullanırken kullanıcı deneyiminin kalitesi , 10 en iyi ve 1 en
kötü olmak üzere 1 ila 10 arasında vQoE puanı olarak ölçülür. vQoE puanı , HTTPS kalite araştırmaları tarafından keşfedilen kayıp ve gecikme
özelliklerini hesaba katar. Kalite puanı , Cloud onRamp for SaaS çözümü ile etkinleştirilen tüm SaaS uygulama çıkış noktaları için hesaplanır.
Tasarım konuları ; Cloud onRamp ile kullanılabilecek üç olası tasarım seçeneği bulunmaktadır ;

Hizmet Olarak Sunulan Yazılımlar ; Doğrudan bulut erişimi. Ağ geçidi bulut erişimi. Bulut güvenliği ile doğrudan bulut erişimi.

Doğrudan bulut erişimi ; Bu durumda Cloud onRamp for SaaS , uzak sitede bir veya daha fazla doğrudan internet erişim devresi kullanır.
Cloud onRamp for SaaS , belirli SaaS uygulamaları için en iyi deneyim kalitesini sağlayan devreleri dinamik olarak seçer. WAN Edge
yönlendiricileri , SaaS için Cloud onRamp için yapılandırılmış tüm doğrudan internet erişim devreleri aracılığıyla sürekli olarak kalite probları
göndererek deneyim değişikliklerinin uygulama kalitesindeki değişiklikleri algılar. Birden fazla doğrudan internet erişim devresi olması
durumunda , WAN Edge yönlendiricileri , SaaS uygulama trafiğini en iyi uygulama kalitesi deneyimi puanıyla devre boyunca yönlendirecektir.
Uzak sitelerde doğrudan internet erişimi , entegre SD-WAN güvenlik özellikleri ile güvence altına alınabilir. Hem Cloud onRamp for SaaS hem
de uzak konumdaki SD-WAN güvenlik kontrolleri Cisco vManage tarafından yönetilir.

Ağ geçidi bulut erişimi ; Ağ geçidi bulut erişim durumunda , internet erişimi olan bir site , diğer siteler için SaaS uygulamalarına ulaşmak için
ağ geçidi olarak atanabilir. Ağ geçidi siteleri bölgesel hub'ları , veri merkezlerini , büyük şubeleri , ortak yerleşimleri içerebilir ve genel bulutta
da olabilir. Ağ geçitleri , bu konumlardaki bant genişliği , performans ve güvenlik özelliklerine göre seçilebilir. Uzak siteler , SaaS istemci siteleri
için SaaS ağ geçidi sitelerine yönelik Cloud onRamp olarak yapılandırılır. Cloud onRamp , ağ geçidi aracılığıyla SaaS uygulamasına giden istemci
sitelerinden performansı ölçer ve trafiğin en iyi performans gösteren yolu izlemesini sağlar.

Bulut güvenlik sağlayıcıları aracılığıyla doğrudan bulut erişimi ; Güvenli İnternet Ağ Geçitleri ( SIG ) veya Bulut Erişimi Güvenlik Aracıları ( CASB
) , SaaS uygulama trafiği için güvenlik ilkelerini uygulamaya yönelik yaklaşımlardır. Bu model , şube veya ortak yerleşim tesislerinden ziyade
buluttaki güvenlik kontrollerinden yararlanır. SaaS için Cloud onRamp , bir veya daha fazla bulut güvenlik uygulama noktası aracılığıyla uzak
siteden en uygun uygulama deneyimine sahip yolu sağlar.

SD-WAN'ı genel bulutlara genişletme ; Hizmet Olarak Altyapı ( IaaS ) , kurumsal uygulamaları internet üzerinden barındırmak ve sunmak için
kullanılabilecek bir dizi temel bilgi işlem kaynaklarıdır. Buna depolama , bilgi işlem ve ağ bileşenleri dahildir. IaaS ile şirket içi fiziksel veri
merkezi altyapısı , şirket dışında , bilgi işlem kaynaklarının Amazon Web Services ( AWS ) veya Microsoft Azure gibi genel bulut sağlayıcısı
tarafından barındırıldığı sanallaştırılmış ortama taşınır. IaaS , kurumsal BT'nin ne zaman , nasıl ve hangi bilgi işlem kaynaklarını tüketeceğini
seçmesine ve talepler değiştikçe hızla ölçek büyütmesine veyahut küçülmesine olanak tanır. Böylelikle pazara sunma süresini önemli ölçüde
azaltır. Her bulut sağlayıcının bağlantı için farklı tüketim modelleri olduğundan kurumsal ağı bulut sağlayıcı altyapısına bağlamak BT için zor
olabilir. BT yöneticileri , kurumsal ağlarını genel buluta genişletmek için sorunsuz ve otomatik yol aramaktadır. Kurumsal BT çoklu bulut ve
fiziksel veri merkezleri , şubeler arasında tek bir yer paylaşımlı bağlantı arar.

Kurumsal IaaS'yi Cisco SD-WAN ile entegre etmenin temel nedenleri şunlardır ; Bulutta tam SD-WAN özelliklerini kullanır. SD-WAN ve çoklu
bulutlar arasında ortak politika çerçevesi uygular. Bulut ve fiziksel yönlendiricileri Cisco vManage aracılığıyla yönetir. En iyi altyapı güvenliğini
sağlar.

Cloud onRamp for IaaS ; Cisco SD-WAN çözümü , şubeden veya veri merkezinden ( DC ) genel buluttaki iş yüklerine bağlantıyı
otomatikleştirmeye yardımcı olur. Bu özelliği kullanarak , sanal WAN Edge yönlendirici örnekleri , genel bulutun belirli bir bölgesinde Cisco
vManage aracılığıyla otomatik olarak döndürülür. Bu sanal örnekler , SD-WAN yerleşiminin bir parçası haline gelerek şubede veya veri
merkezinde bulunan WAN Edge yönlendiricilerine veri düzlemi bağlantısı kurar. Sonuç olarak buluttaki iş yükleri , fiziksel şubeler ve veri
merkezleri arasında uçtan uca bağlantı kurulur. Cloud onRamp for IaaS , SD-WAN yapısının genel bulutlara sorunsuz şekilde genişletilmesini
sağlar. Veri merkezinden geçen SD-WAN sitelerinden gelen trafiği ortadan kaldırarak genel bulutta barındırılan uygulama performansını
iyileştirir. Cloud onRamp for IaaS , genel bulutta barındırılan uygulamalara yol esnekliği ve yüksek kullanılabilirlik sağlayan yedekli bir çift sanal
yönlendirici dağıtır.

Tasarım ; Amazon Web Services ( AWS ) ve Microsoft Azure , dünya çapındaki müşteriler tarafından kullanılan en yaygın IaaS hizmetlerinden
ikisidir. Cisco SD-WAN çözümü , SD-WAN yapı zekasının AWS ve Microsoft Azure IaaS ortamlarına genişletilmesine olanak tanır. Bunu
başarmak için iki yaklaşım bulunmaktadır ;

• Bulut Ağ Geçidi ; Sanal WAN Edge yönlendiricisi , her sanal ağa manuel olarak dağıtılır.

• Cloud onRamp for IaaS ; Aktarım merkezinde sanal toplama yönlendiricileri olarak görev yapan bir çift sanal WAN Edge yönlendiricisi
dağıtılır.

İlk yaklaşım , her AWS Virtual Private Cloud ( VPC ) veya Microsoft Azure VNET'te sanal WAN Edge yönlendiricisi başlatmaktır. Bu durumda ,
işlem kaynakları doğrudan WAN Edge yönlendirici örneğine eklenir. Bu yöntem oldukça basit olup WAN Edge yönlendirici örneğinin mevcut
veya yeni her VPC veya VNET'e dağıtılmasını gerektirir. Bu sanal yönlendirici , diğer fiziksel yönlendiricilerle aynı şekilde vManage aracılığıyla
sorunsuz şekilde yönetilir. Hem AWS'de hem de Azure Marketplace'te Kendi Lisansını Getir ( BYOL ) örneği olarak kullanılabilir.

İkinci yaklaşım ise Cloud onRamp for IaaS olarak adlandırılır. IaaS için Cloud onRamp ile tüm host bilgisayar VPC'lerini / VNET'lerini ön uç
olarak kullanmak için geçiş VPC / VNET ( ağ geçidi ) kullanılabilir. Ağ geçidi VPC / VNET , bir çift yedekli WAN Edge yönlendiricisine ev sahipliği
yapar. Standart IKE tabanlı IPSec bağlantıları , ağ geçidi VPC / VNET ile katılan tüm host bilgisayar VPC'leri / VNET'leri arasında kurulur. BGP
yönlendirme protokolü , SD-WAN yapı yollarının host bilgisayar VPC'lerine / VNET'lerine karşılıklı reklamı için bu IPSec tünelleri üzerinden
çalışır ve bunun tersi de geçerlidir. Bu yaklaşımda , ağ geçidi VPC / VNET , SD-WAN yapısına giriş noktası olarak çoklu yol , güvenlik ,
segmentasyon , QoS sağlar. Çoklu yol , AWS Direct Connect veya Azure Express Route , internet bağlantısından yararlanılarak da
etkinleştirilebilir. Cloud onRamp for IaaS , SD-WAN'ı genel buluta genişletmek için kullanılabilir. Genel bulutta özel güvenlik yığını oluşturmak
için de kullanılabilir.

Genel bulutta özel güvenlik yığını oluşturma ; Cisco SD-WAN müşterileri, VPC'lerinde veya VNET'lerinde barındırılan Sanal Ağ İşlevleri ( VNF )
olarak genel bulutta kendi güvenlik yığınlarını oluşturabilir ve kullanabilir.
Daha fazla güvenlik analizi gerektiren internete bağlı herhangi bir trafik , SD-WAN yapısı aracılığıyla bulutta çalışan güvenlik yığınına
yönlendirilebilir. Trafik bulut WAN Edge'e ulaştığında , güvenlik yığını aracılığıyla filtrelenir ve internete çıkar.

Ortak yerleşimlerden yararlanma ; Trafik optimizasyonu sağlamanın geleneksel yöntemi ( yük dengeleme , güvenlik politikası , WAN
optimizasyonu , vb. ) , güvenlik duvarları , izinsiz giriş algılama / önleme sensörleri , URL filtreleme , proksiler ve bu tür diğer cihazlar gibi
öğelerin , içindeki toplama noktalarında merkezi olarak sağlanmasına dayanıyordu. SaaS uygulamaları ve internet erişimi için bu yaklaşım ,
kullanıcı trafiğinin uzak sitelerden ana veri merkezlerine geri çekilmesine , uygulama gecikmesinin artmasına ve genel kullanıcı deneyiminin
olumsuz etkilenmesine neden olmuştur. Veri merkezinde barındırılan uygulamalar için bu yaklaşım , veri merkezi bant genişliği kaynaklarının
potansiyel israfına neden olmuştur. Bu mimari yöntem , virüs salgınları , kötü amaçlı yazılımlardan yararlanma , dahili kaynaklı hizmet reddi
saldırıları gibi güvenlik olaylarının etkili şekilde azaltılmasını da zorlamıştır.

Günümüz SD-WAN çağına girerken , doğrudan internet erişimi kullanılarak mimarinin dağıtık erişim modeline geçişi bu sorunu daha da
kötüleştirmektedir. Şubeler ve kullanıcılar , toplama noktalarını atlayarak artık SaaS uygulamalarına ve internet kaynaklarına doğrudan
erişmekte özgürdür. Bu , A noktasından B noktasına veri taşımak için çok daha verimli yöntem sağlarken , kuruluşlarının düzenleyici kurumlar
tarafından internete doğrudan şubeden erişmesi yasaklanabilecek BT ekipleri için zorluk oluşturabilir. O halde , dağıtılmış mimarinin
verimliliğiyle birlikte merkezi mimarinin faydalarından nasıl faydalanırız? Cloud onRamp for Collocation , bir kuruluşun stratejik toplama
noktalarını ( ortak yerleşimler ) kullanarak bu soruna hibrit yaklaşım benimsemesine olanak tanımaktadır. Böylelikle gecikmeyi en aza
indirirerek ağ yığınlarını birleştirir.

Cloud onRamp for Collocation ; Ortak yerleşim merkezleri , güvenli genel veri merkezinde ekipman , bant genişliği veya alan kiralamanıza
olanak tanır. Bu tesisler , özel veri merkezine doğrudan bağlantı kurmanın maliyetinin çok altında bir fiyata çeşitli telekomünikasyon , ağ ve
bulut hizmeti sağlayıcılarıyla doğrudan bağlantı kurma esnekliği sağlar. Ortak yerleşim merkezi kullanmanın en büyük yararlarından biri de
coğrafi kapsama alanıdır. Ortak yerleşim tesisi sadece genel ve özel bulut kaynaklarına yüksek hızlı erişim sağlamakla kalmayarak aynı
zamanda merkezin coğrafi varlığı , son kullanıcılara yakın konumda stratejik olarak bir tesis veya birden çok tesis seçebilmenizi sağlar. Bu
nedenle , Cisco SD-WAN ile birleştiğinde , son kullanıcı trafiği en yakın ortak yerleşime yönlendirilir. Burada bu trafik optimize edilerek daha
fazla güvenceye alınıp yüksek hızlı omurga üzerinden amaçlanan varış noktasına iletilir.

Çalışması ; Cisco SD-WAN , hizmet ekleme ilkelerinden ve akıllı yönlendirmeden yararlanarak , gerektiğinde ilgi trafiğini yönlendirebilir.
Bölgeselleştirilmiş hizmet zincirleme kavramını doğuran bu temel işlevdir. Optimizasyon / güvenlik ağı öğelerini ağ genelindeki stratejik
noktalara ( ortak yerleşimler ) konumlandırarak , bölgesel hizmet zincirleme operasyon , maliyet , deneyimin uygulama kalitesi ve güvenlik
olaylarını etkin şekilde azaltma yeteneği arasında doğru dengeyi kurar. SD-WAN hizmet zinciri , WAN Edge yönlendiricileri tarafından
gerçekleştirilir. Şube yönlendiricisi trafiği tanımlayacak , yükünü analiz edecek ve Cisco vManage içinde oluşturulan SD-WAN ilkesine dayalı
olarak ortak yerleşim tesisindeki uygun ağ işlevi aracılığıyla trafiği yönlendirecektir. Bu işlevselliğin internet hedefleriyle veya sanal cihazlarla
sınırlı olmadığını belirtmek önemlidir. Siteler arası güvenlik ve optimizasyon sağlamak isteyen kuruluşlar , hizmet zincirlemeyi de kullanabilir.

Ağ işlevleri ( WAN Edge yönlendiricileri , yük dengeleyiciler , IDS / IPS , güvenlik duvarları , proksiler vb. ) genelde Cisco ENCS veya Bulut
Hizmetleri Platformu gibi bilgi işlem platformunda sanallaştırılır / barındırılır. Bu sanal ve bazen fiziksel ağ işlevleri , VLAN birleştirme veya
fiziksel kablolama yoluyla doğrudan WAN Edge yönlendiricisine bağlanabilir. Bağlandıktan sonra bu cihazlar OMP aracılığıyla SD-WAN
yapısının geri kalanına duyurulur. Kontrol ve veri politikaları daha sonra bu duyurulara dayalı olarak bağlı kaynak aracılığıyla trafiği etkilemek
için kullanılır.

SaaS için hizmet zincirleme ; SaaS trafiği , uygulamalara sadece internet üzerinden erişilebildiğinden ağ mimarisi için benzersiz zorluk teşkil
etmektedir. Dağıtılmış internet erişimi , şube konumundan doğrudan erişime izin vererek bu sorunu çözmüştür. Ancak kuruluşların SaaS için
ek güvenlik katmanlarına ihtiyacı olabilir. Cloud onRamp for Colocation ile birleştirilmiş Cisco SD-WAN , bu gereksinimi karşılar. Cloud onRamp
for Colocation ile yönetici , SaaS'ye bağlı trafik yoluna ağ hizmeti ekleme seçeneğine sahiptir. Yönetici , Dropbox gibi dosya paylaşım hizmetine
yönelik trafiğin geçiş yoluna Veri Kaybını Önleme sensörü eklemeyi seçebilir. Bu kısımda hizmet zincirleme politikasından yararlanarak
yönetici , kuruluşun güvenlik politikasını tatmin etmek için herhangi sayıda ağ hizmeti aracılığıyla bu trafiği etkileyebilir. Bu hizmetler ister
fiziksel aygıtlar ister sanallaştırılmış hizmetler olsun.

IaaS için hizmet zincirleme ; IaaS'ye yönlendirilen trafiğin geçiş yolu içinde ağ işlevlerinin sağlanması istenebilir. İlgilenilen trafik , işleneceği
ve IaaS sağlayıcısına iletileceği ağ işlevlerine yönlendirilecektir. Bir kuruluş tarafından ihtiyaç duyulan ek güvenlik katmanları olabilir. Cloud
onRamp for Colocation aracılığıyla bu trafiğin güvenliğini sağlamak için hizmet zincirlemesinden yararlanılabilir.

Hizmet zincirleme tasarımı en iyi uygulamaları ; Cloud onRamp for Colocation çevresinde strateji izlemekle ilgileniyorsanız , hizmet zincirlerini
tasarlarken şu aşamaları göz önünde bulundurmalıyız ; Sanal Ağ İşlevlerini ( VNF ) Tanımlayınız. Trafik modellerini tanımlayınız. Tasarım
hizmet zincirleri.

Bu bilgilere dayanarak , gereksinimi karşılamak için gerekli VNF'ler veya fiziksel cihazlar gibi SD-WAN hizmet zincirleme ilkeleri türetilebilir.
Bir kuruluşun çalışanlarından gelen trafik için hizmet zinciri oluşturularak bu tür trafiğin kaynağının güvenilir olduğu düşünüldüğünden daha
az güvenlik duvarı gerekebilir.

VNF'leri seçerken ve yerleştirirken şunlar dikkate alınmalıdır ; Bilgi işlem ihtiyaçları. Yüksek Kullanılabilirlik ( HA ). Bağlantı noktası kanallama.

Son olarak da gerekli işlem ihtiyaçlarını değerlendiriniz. Varsayılan olarak , Cloud onRamp for Colocation kümesi , çoğu uygulama için yüksek
aktarım hızı ve geniş bilgi işlem yeteneği sağlar. Her bir bireysel küme , gereksinimleri karşılamak için genişleme yeteneğine sahiptir.