Cisco OpFlex: Southbound-SDN-Protokoll für die Policy-Kontrolle des Netzwerks

Das Southbound-SDN-Protokoll OpFlex von Cisco überträgt Informationen zwischen einem zentralen Policy-Controller und einer Netzwerk-Infrastruktur.

Cisco hat auf der Interop 2014 ein neues Southbound-SDN-Protokoll vorgestellt, das auf den eigenen „Application Centric Infrastructure“-Produkten (ACI) basiert. Die Firma will die Technologie bei der IETF zur Standardisierung einreichen.

Genau wie OpenFlow ist Ciscos OpFlex für die Kommunikation zwischen einem zentralen Controller und Netzwerk-Geräten erschaffen. Der Anwendungsbereich unterscheidet sich allerdings sehr. OpenFlow zentralisiert die Netzwerk-Steuerungsebene auf einem Controller, OpFlex-basiertes SDN (Software-defined Networking) zentralisiert lediglich die Policy-Kontrolle. Es baut auf traditionelle und verteilte Netzwerk-Kontrollprotokolle, um die restliche Aufgabe zu erledigen.

Die SDN-Steuerungs-Schicht: Imperativ gegen deklarativ

Cisco behauptet, dass es zwei Arten an SDN-Steuerungs-Ebenen gibt: imperativ und deklarativ. Eine deklarative Kontroll-Schicht trifft alle Entscheidungen, wie der Traffic das Netzwerk durchquert. Cisco vergleicht eine imperative Steuerungs-Schicht mit einem Gepäckverarbeitungs-System auf einem Flughafen, bei dem die ganze Intelligenz zentralisiert ist. Gepäckabfertiger sehen Codes auf den Gepäckstücken und wissen somit, auf welchem Förderband diese landen müssen.

Eine deklarative Steuerungs-Ebene erlaubt mehr verteilte Intelligenz. Sie schreibt zentrale Policies vor, gestattet aber den Netzwerk-Knoten hinsichtlich Ausführung der Regeln mehr Entscheidungsfreiheit. Cisco vergleicht das mit einem Flughafen-Tower. Die Lotsen sagen einem Flugzeug, dass es landen kann und der Pilot erledigt den Rest.

Während OpenFlow für eine imperative Steuerungs-Ebene geschaffen ist, bedient OpFlex laut Cisco eine deklarative Kontroll-Schicht. Damit ist zum Beispiel die hauseigene ACI gemeint, zu der auch Ciscos neue Switch-Familie Nexus 9000 und seine APIC (Application Policy Infrastructure Controller) gehören.

OpFlex spielt Ciscos Behauptungen in die Karten, dass eine komplette Zentralisierung der Steuerungs-Ebene in SDN nicht skalierbar ist. Das meint der Analyst Bob Laliberte von der Enterprise Strategy Group: „Ciscos Herangehensweise ist das Zentralisieren der Policy, verteilt aber die Intelligenz und entsprechend die Kontrolle. OpenFlow setzt immer neue Test-Szenarien auf, um die Skalierbarkeit einer imperativen Kontroll-Ebene zu erweitern. Andere glauben aber, dass die Kontrolle etwas verteilter sein sollte.“

OpFlex erhält die deklarativen Statements von APIC-Policy-Control und interpretiert diese auf Switch-Ebene, sagt Brad Casemore von IDC. Man benötige dazu einen Switch, der diese Interpretation durchführen kann. Dieser brauche Intelligenz. Cisco vertraue darauf, dass dieses Modell dem bisher aufgebauten Business zu Gute kommt.

OpFlex ist ein erweiterbares Protokoll, das laut Ciscos Produkt-Manager Mike Cohen „abstrakte und keine Geräte-spezifischen Policies verwendet“. Diese Definitionen seien in XML oder JSON geschrieben. Das Ziel sei es, allerlei Geräte zu unterstützen. Dazu gehören auch virtuelle und physische Switches, sowie Netzwerk-Services.

OpFlex-Implementierung: Über die Grenzen eines Nur-Cisco-Netzwerks

Um Teil eines OpFlex-basierten Netzwerks zu sein, müssen Hardware- und Software-Hersteller einen OpFlex-Agenten auf ihren Plattformen installieren. Cisco stellt einen Open-Source-OpFlex-Agenten für Open vSwitch als Referenz-Architektur zur Verfügung. Laut Cohen soll der Agent die Policies vorgeben und an die Plattform-Ebene könne man verschiedene Geräte hängen.

Cisco arbeitet außerdem mit OpenDaylight zusammen, um Open-Source-OpFlex-Schnittstellen für seinen Controller zu erstellen. Weiterhin wird es ein Gruppen-Policy-API (Application Programming Interface) geben. IBM, Plexxi und Midokura arbeiten Cohens Angaben zufolge neben OpenDaylight ebenfalls an dem Projekt.

„Das Ziel ist es, das Konzept in der Open-Source-Community zu etablieren und die Kompatibilität zu unseren APIC und ACI aufrecht zu erhalten.“, sagte Cohen.

OpFlex öffnet ACI für breiteres Spektrum an Netzwerk-Servicepartnern. Die Cisco-Switches Nexus 9000 funktionieren Hardware- und Software-seitig innerhalb einer ACI-Implementierung. Diverse Infrastruktur-Firmen haben bereits verlauten lassen, die eigenen Produkte mit ACI zu verknüpfen.

OpFlex erweitert eine potenzielle Integration über das Partner-Ökosystem hinaus. Theoretisch könnte jede Firma OpFlex adaptieren und damit die Produkte an ACI teilnehmen lassen. Diverse ACI-Partner haben sich schon bereit erklärt, OpFlex in ihren Produkten zu unterstützen. Dazu gehören F5 Networks, Citrix, Microsoft, IBM, Red Hat, Canonical und Embrane.

OpFlex wird auch dem Rest der Nexus-Switche den Weg in Richtung ACI ebnen. Das beantwortet auch die Fragen der Kunden, die sich Sorgen bezüglich der Investitions-Sicherheit für die Modelle Nexus 7000 und 7700 gemacht haben.

Der virtuelle Switch Nexus 1000v wird OpFlex bereits sehr früh unterstützen. Die SourceFire-Security-Appliances werden ebenfalls recht bald mit OpFlex-Unterstützung ausgestattet. Cisco will außerdem Nexus 7000 und ASR-9000 mit OpFlex ausrüsten und laut Cohen will man die restliche Nexus-Familie ebenfalls mit einbeziehen.

Cisco hat immer angedeutet, dass das Policy-Kontroll-Modell von ACI das Infrastruktur-Management und die Orchestrierungs-Innovationen der eigenen Server-Produkte widerspiegelt. Wir sprechen hier von UCS (Unified Compute System). Im Laufe der Zeit wird sich OpFlex mit UCS integrieren, sagte Laliberte.

Cisco hat OpFlex auf der Interop 2014 vorgestellt und demonstriert. Eine kostenlose und Open-Source-Implementierung von OpFlex soll es im dritten Quartal 2014 geben.

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Data-Center-Netzwerkinfrastruktur

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close