Das bietet Software-defined WAN (SD-WAN)

Software-defined WAN (SD-WAN) ist eine neue Technik, von der Early Adopter bereits profitieren. Skeptiker warnen indes vor überzogenen Erwartungen.

Darauf aus, von den Menschenmassen auf der Interop in Las Vegas 2010 wegzukommen, betrat John Mulhall einen ruhigeren...

Gang der Messehalle.

Dort präsentierten sich die Stände weniger imponierend – kein Zeichen von iPad-Verlosungen oder anderen Attraktionen, die viele Besucher anlocken. Stattdessen traf Mulhall, IT-Leiter von Sno-Isle Libraries im US-Bundesstaat Washington, auf Anbieter, die er bis dato nicht gekannt hatte. Einer von ihnen war ein Start-up namens Talari Networks, das damals seine Technologie als „adaptives privates Netzwerk“ anpries. Die Firma behauptete, ihre Appliances könnten ein teures MPLS-Netzwerk ersetzen, indem sie mehrere Internetverbindungen aggregierten und auf Basis der Echtzeitbedingungen dieser Verbindungen den besten Pfad für den Traffic dynamisch auswählten.

Das klingt bekannt? Es ist eine der Grundvoraussetzungen für das, was heute als Software-defined WAN (SD-WAN) von einer wachsenden Zahl von Anbietern aus allen Bereichen des Netzwerkmarktes vertrieben wird. Dazu zählen Router-Giganten wie Cisco, WAN-Optimierungsspezialisten wie Silver Peak Systems, Nischenanbieter wie Talari und eine Handvoll Start-ups wie CloudGenix, Velocloud und Viptela.

SD-WAN ist ein alternativer Ansatz für das Design und die Bereitstellung von Enterprise-WANs. Er soll herkömmliche Branch-Router durch Appliances ersetzen, die Virtualisierung, Richtlinien auf Anwendungsebene und Netzwerk-Overlays verwenden, damit sich mehrere weniger leistungsstarke Internetverbindungen wie eine dedizierte Leitung verhalten. Dahinter steckt die Absicht, das Setup so zu vereinfachen, dass die Mitarbeiter der Zweigstelle lediglich ein Kabel anschließen müssen, damit die Appliance nach Hause telefonieren und ihre Konfiguration automatisch von einem zentralen Controller beziehen kann.

Als Endziel will man die Notwendigkeit für den Einsatz privater WAN-Technologien wie MPLS – die unter langen Bereitstellungszeiten und teuren Verträgen leidet – beseitigen oder reduzieren und dabei gleichzeitig das WAN reaktionsfähiger und weniger komplex machen. Weil jedoch viele große Firmen zögern, die garantierte Kontrolle, Zuverlässigkeit und Performance von MPLS vollständig aufzugeben, erwartet man, dass SD-WAN hauptsächlich in hybriden WAN-Architekturen bereitgestellt wird, die eine Kombination aus öffentlichen und privaten Verbindungen nutzen.

„Es ist eine Technologie, von der ich glaube, dass sie MPLS langsam ersetzen wird, falls MPLS nicht günstiger wird“, sagt John Shaffer, CIO von Greenhill und Co., einer in New York ansässigen Investmentbank, die dabei ist, SD-WAN-Boxen von Vitpela in ihren 15 Büros bereitzustellen. „Viele unserer Büros arbeiten mit Ausnahme von E-Mail unabhängig voneinander. Da beginnt man doch, sich zu fragen, für was man MPLS braucht und warum man so viel Geld dafür ausgibt.“

Doch nicht jeder glaubt, dass SD-WAN das Patentrezept für alle Nachteile von WAN ist. Der Abstraktionsgrad dieser Appliances macht Netzwerktechniker wie Ivan Pepelnjak nervös. Er vertritt die Meinung, dass sich – wie in der Vergangenheit – dieselben Ziele mit Technologien erreichen lassen, die schon seit mindestens 10 Jahren existieren. Allerdings erfordern sie mehr manuelle Arbeit.

„Die Menschen wollen immer gerne an allerlei Wunderdinge glauben“, erklärt Pepelnjak, ein unabhängiger Netzwerkarchitekt in Slowenien, der ipSpace.net AG betreibt, ein Beratungsunternehmen, das Schulungen und Dienste für Software-defined Networking (SDN) anbietet. „Sie wollen glauben, dass es eine neue Erfindung gibt, die man einfach bereitstellt und die dann einfach funktioniert – und dann kommt der Realitätsschock, leider.“

Aber egal ob es eine neue, bahnbrechende Technologie ist oder alter Wein in neuen Schläuchen – eine Tatsache über SD-WAN bleibt unumstritten: 2014 hat das Interesse daran rapide zugenommen, da die Benutzer zunehmend auf Anwendungen über die Cloud zugreifen. Das verringert den Bedarf an dedizierten Leitungen zu Unternehmensrechenzentren.

„Der ganze SDN-Trend hat die Aufmerksamkeit des Marktes auf die Tatsache gelenkt, dass es bessere Wege gibt, um seit langem bestehende Herausforderungen zu lösen“, stellt Andrew Lerner, Forschungsleiter bei Gartner fest. „Obwohl SD-WAN nicht SDN ist, hatte die ganze Denkweise und der kulturelle Wandel, der durch SDN eintrat, einen Einfluss auf den gesamten Markt.

„Am Anfang wurde über SDN zwar nur im Zusammenhang mit Rechenzentren gesprochen“, fährt Lerner fort, „aber wenn Sie jetzt mit Endkunden reden, dann fließt ein beträchtlicher Teil ihrer Ausgaben für das Netzwerk in die Telekommunikation – für MPLS und die Anbindung von Filialen.“

Hybrides WAN nutzen

Mulhall von Sno-Isle Libraries erklärt, er suche ständig nach Möglichkeiten, Kosten zu reduzieren und das Ziel der Bildungseinrichtung, „gute Verwalter der öffentlichen Steuergelder zu sein“, zu erreichen. Kurz nach seinem Besuch am Stand von Talari auf der Interop im Jahr 2010 testete er die Appliances des Anbieters in einer seiner Niederlassungen in der Hoffnung, sie könnten helfen, seine WAN-Kosten zu verringern. Sie funktionierten genau so wie in der Werbung versprochen und kamen sogar mit VoIP-Traffic ohne große Probleme klar.

Mulhall stellte die Appliances an allen 23 Standorten der Institution bereit und ersetzte 2011 sein MPLS-Netzwerk vollständig mit einem Mix aus Standard-Internetverbindungen. Das internetbasierte WAN wird ergänzt durch einige Dark-Fiber-Verbindungen mit hoher Kapazität für den internen Traffic zwischen Gebäuden.

„Ein wenig nervenaufreibend war es schon“, gibt er jetzt zu. „Im folgenden Jahr war ich wieder auf der Interop und besuchte eine der Veranstaltungen, in denen sie über neue Netzwerktechnologien sprachen. Ich berichtete von unserem Umstieg auf Talari und erwähnte, dass wir alle MPLS-Verbindungen gekappt hatten. Jemand, der einige Reihen hinter mir saß, stand auf und sagte: ‚Sie sind wahnsinnig, das ist verrückt. Warum sollte man so etwas tun?!‘“

Er beantwortete diese Frage nun ohne zu zögern: Sno-Isle Libraries hat als Ergebnis nicht nur mindestens 400.000 US-Dollar im Jahr gespart, sondern auch die Performance und Redundanz seines WANs verbessert. Wo vorher jede Filiale nur über eine MPLS-Verbindung verfügte, die den internen und externen Traffic zum Rechenzentrum von Sno-Isle zurücktransportierte, aggregiert eine typische Niederlassung jetzt vier verschiedene Internetverbindungen. Die Talari-Appliance identifiziert den Traffic, der gemäß dem US-Gesetz Children's Internet Protection Act zum Schutz von Kindern im Web nicht gefiltert werden muss, und sendet ihn direkt ins Internet.

„Damit können wir direkt die Intelligenz dieser Appliances nutzen und sagen ‚OK, um welche Art von Traffic handelt es sich?‘“, erläutert Mulhall. „Wir haben eine Verbesserung der Performance bemerkt, weil mit unserem Standard-MPLS-Netzwerk der gesamte Traffic über das WAN zurück zu unserer Zentrale fließt und von dort weiter über die Hauptverbindung ins Internet. Jetzt können wir ihn auf mehreren Wegen senden.“

Während SD-WAN womöglich für Gast-Wi-Fi oder Vorgänge, die sich offline erledigen lassen, ausreicht, kann das öffentliche Internet nicht als vollständig zuverlässiges Medium für kritische Dienste angesehen werden, warnt Pepelnjak von ipSpace.net. Das macht es für Netzwerktechniker umso wichtiger zu wissen, welche Anwendungen das Unternehmen zu jeder Zeit online betreiben muss.

„Es hängt davon ab, in welchem Ausmaß Sie ein Scheitern riskieren wollen – ganz ehrlich. Können Sie damit leben, auf ein Remote-Büro zu verzichten, weil das Internet ausgefallen ist? Für einige Leute lautet die Antwort Ja, sagt er. „Es gibt keine gute Fee, die unendliche Bandbreite herbeizaubert. Sie müssen mit der vorhandenen Bandbreite auskommen, und wenn Sie mehr wollen, müssen Sie auch mehr zahlen. Es geht immer um das aus dem Projekt-Management bekannte Magische Dreieck: schnell, günstig oder gut – Sie können nur zwei Größen auswählen. Der einzige Vorteil all dieser neuen Angebote besteht darin, dass sie einfacher zu nutzen sind.“

SD-WAN kann inkrementell bereitgestellt werden, um „den Explosionsradius“ im Falle eines Misserfolgs zu minimieren, da die Pilotierung in einer einzigen, isolierten Niederlassung erfolgt, erklärt Lerner von Gartner.

„Das Schöne am Vergleich zwischen SD-WAN und SDN ist, dass bei SDN, falls man es in einem Rechenzentrum einsetzt – obwohl man es auch in einem Rack oder Switch anwenden kann – die Realität so aussieht, dass man sich immer noch in einem Rechenzentrum befindet und die komplette Anwendungsumgebung beeinträchtigen könnte. Das ist einer der Gründe, warum SDN nur so langsam akzeptiert wird“, sagt er.

Bei Greenhill und Co. betreibt Shaffer ein hybrides WAN, das MPLS-Verbindungen als primäre Anschlüsse nutzt, ergänzt durch Internetverbindungen. Anfangs plante er, mittels SD-WAN sein herkömmliches WAN zu verstärken. Aber da er weiter mehr Viptela-Appliances in seinen Büros an weltweiten Standorten bereitstellt, erwartet Shaffer, dass sich die Kräfteverhältnisse möglicherweise verschieben – besonders wenn er bedenkt, dass er 600.000 US-Dollar seines jährlichen IT-Budgets für MPLS ausgibt.

Obwohl ein Service-Level-Agreement (SLA) enthalten ist, hat MPLS in der Vergangenheit Shaffer schon einige Kopfschmerzen bereitet. Vor seiner Investition in SD-WAN vergingen sechs Monate, bis ein neues Büro in Brasilien eine MPLS-Anbindung erhielt.

„Ein MPLS-Netzwerk garantiert keine hundertprozentige Verfügbarkeit, und bei uns kommt es zu Ausfällen. Dafür gibt es SLAs, aber ein SLA bedeutet gar nichts, wenn sich keine Verbindung herstellen lässt“, betont Shaffer. „Wenn ich eine Internetverbindung mit 100 Megabyte kaufen kann und weiß, dass nur 20 Megabit davon bei mir nutzbar sind, ist das immer noch richtig gut.“

Eine WAN-Architektur für die Cloud

Kosteneinsparungen sind der offensichtlichste Vorteil von SD-WAN, aber genauso wichtig für seine Anziehungskraft ist, dass seine Architektur sich besser für die Anforderungen von Cloud-, mobilen und Echtzeitanwendungen eignet. Diese Ansicht vertritt Nick Lippis, Mitgründer und stellvertretender Vorsitzender der Open Networking User Group (ONUG).

„Das Konzept von Enterprise-WANs ist ein altes Konzept und ein totes Konzept“, sagt Lippis, der prognostiziert, dass die meisten großen Unternehmen SD-WAN innerhalb von 24 Monaten übernehmen werden.

Giuseppe Genovesi, Leiter der Unternehmens-IT bei Interroll, einer Herstellerfirma in der Schweiz, führte vor fünf Jahren ein hybrides WAN-Modell ein, als sein Unternehmen öffentliche Cloud-Dienste wie Microsoft Office 365 zunehmend zu nutzen begann und seine eigene Private Cloud aufbaute. Am Anfang jenes Jahres bestanden 80 Prozent des WANs von Interroll aus MPLS-Verbindungen, Standard-Internetverbindungen machten 20 Prozent aus. Heute liegen beide Verfahren gleichauf, und aufgrund seiner bisherigen Erfolge sagt Genovesi, er habe vor, den Anteil von MPLS an seinem WAN auf nur 20 Prozent zu reduzieren.

Interroll verwendet die WAN-Optimierungs-Appliances von Silver Peak zusammen mit Unity EdgeConnect, dem SD-WAN-Produkt des Anbieters, als Ersatz für Branch-Router in seinen weltweiten 31 Büros. Genovesi kennzeichnet und priorisiert nach wie vor unterschiedliche Traffic-Typen mit MPLS, aber die SD-WAN-Plattform bestimmt den besten Pfad, um ihn zu jedem Zeitpunkt zu senden.

„Das Gerät von Silver Peak entscheidet dynamisch ‚Jetzt gibt es mehr Bedarf für diesen Traffic-Typ. Erhöhen wir die Priorität dafür, stecken wir jenes in diese Klasse oder verzögern wir etwas anderes.‘ Und das war mit nur einem Router und MPLS nicht möglich“, sagt Genovesi. „Der Router und MPLS können einem mitteilen, welcher Traffic priorisiert oder was übersprungen oder verworfen wird beziehungsweise was tatsächlich einfach nur langsam ist. Aber Sie müssen auf diesen dynamischen Ansatz verzichten.“

Was ist SD-WAN?

„SD-WAN abstrahiert den zugrunde liegenden Netzwerktransport/-konnektivität, um einen geschäftlich zentrierten oder anwendungsorientierten Ansatz darzustellen. Bei einer SD-WAN-Implementierung lassen sich traditionelle gerätebasierte Konfigurationen auf Befehlszeilenebene ersetzen durch eine zentralisierte, netzwerkweite Steuerung und Orchestrierung.“

„SD-WAN-Lösungen verwenden zentral verwaltete WAN-Edge-Geräte, die in Außenstellen platziert werden, um logische Verbindungen mit anderen Branch-Edge-Geräten über das physische WAN herzustellen. Diese logischen Verbindungen schaffen sichere Pfade über mehrere WAN-Verbindungen und -Carrier hinweg, zum Beispiel hybride Internet- und MPLS-Architekturen.“

Technology Overview for SD-WAN, Gartner, Juli 2015

Intelligenteres Routing

SD-WAN nutzt für den Netzwerkbetrieb eher einen anwendungsorientierten Ansatz als das herkömmliche Routing, das Datenpakete über Hops weiterreicht, bis die Ziel-IP-Adresse erreicht ist“, sagt Lerner vom Markforschungsinstitut Gartner.

„Man kann Dinge gruppieren und Anwendungen auf Basis einiger Merkmale, die eine IP-Adresse enthalten können, definieren. Man kann aber auch sagen ‚Diese Anwendung, beispielsweise YouTube, nimmt diesen Weg‘“, erläutert Lerner. „Es heißt also nicht länger nur‚ YouTube besitzt diese IP-Adresse und nimmt diesen Pfad‘. Daraus wird ‚Das ist YouTube-Traffic. YouTube-Traffic wurde diese Richtlinie zugewiesen, also werden wir ihn mit diesem Mechanismus weiterleiten‘“.

Als OneCloud Networks, ein Anbieter von Unified Communications as a Service (UCaaS) mit Sitz in Frisco im US-Bundesstaat Texas, seine Cloud-basierten Sprach- und Videokonferenzdienste erstmals startete, schien der einzige Weg, um den Betrieb zu gewährleisten, jeden einzelnen Kunden mit redundanten dedizierten Leitungen zu versorgen, erklärt der CEO von OneCloud Haider Mirjat. Es war allerdings ein teurer Ansatz und stellte nicht genügend Bandbreite zur Verfügung.

Als Mirjat mehr über das Konzept von hybridem WAN erfuhr, war die Idee reizvoll. Die Ausführung war jedoch problematisch. Er nutzte Ciscos Firewalls der Meraki-MX-Reihe, um WAN-Verbindungen zu terminieren, und obwohl die Appliances über die Möglichkeit verfügten, das Load Balancing für mehrere Verbindungen vorzunehmen, sagt Mirjat, die Konfiguration sei komplex, manuell und statisch gewesen.

Letzten Endes versorgte er die Kunden mit der SD-WAN-Plattform von CloudGenix auf Standardhardware und redundanten, für den Heimbereich ausgelegten Internetverbindungen. Das Gerät ist in der Lage, unterschiedliche Traffic-Typen zu erkennen und sein Routing anhand von Echtzeit-Netzwerkbedingungen dynamisch anzupassen.

„Es versteht, welche Anwendungen auf welche Verbindung und zu welcher Zeit angewiesen sind – und all das in Echtzeit“, betont Mirjat. „Genau das unterstützt uns bei der Haltung ‚OK, wisst Ihr was? Wir müssen nicht alle dedizierten Leitungen redundant auslegen.‘“

SD-WAN oder Selbermachen?

Obwohl das Interesse rund um SD-WAN in der jüngeren Vergangenheit stark zugenommen hat, beruht dessen Fähigkeit, ein hybrides WAN zu unterstützen, nicht auf einer neuen Technologie.

„Kluge Leute haben immer schon versucht, die verfügbare Bandbreite maximal auszunutzen“, gibt Pepelnjak von ipSpace.net zu bedenken. „Es gab keinen Hype drumherum, weil nur Netzwerktechniker damit zu tun hatten, aber das Konzept, VPN über das Internet parallel zum privaten WAN zu nutzen, um günstigere Bandbreite zu erhalten, ist als Vorgehensweise mindestens 10 Jahre alt.“

Eine Funktion, die sich ohne SD-WAN nicht erreichen lässt, ist die dynamische Verlagerung des Traffics über mehrere Verbindungen auf Grundlage der Verbindungsqualität, räumt Pepelnjak ein. Aber die Möglichkeit, mehrere WAN-Verbindungen zu aggregieren und Load Balancing vorzunehmen, kann man mit der Cisco-Technologie Dynamic Multipoint Virtual Private Network (DMVPN) umsetzen, sagt er.

„Wenn Sie ein DMVPN-Netzwerk bereitstellen wollen, müssen Sie tatsächlich wissen, wie es funktioniert. Ihr Design muss stimmen. Sie müssen über das, was Sie machen, nachdenken. Vielleicht müssen Sie sogar an Schulungen teilnehmen, um Himmels Willen“, meint Pepelnjak. „Die neue Technik stöpseln Sie einfach ein, und das Ganze registriert sich automatisch beim Controller. Sie klicken einfach auf drei Buttons auf der Web-Oberfläche, und alles funktioniert – und stoppt von alleine.“

Ich berichtete von unserem Umstieg auf Talari und erwähnte, dass wir alle MPLS-Verbindungen gekappt hatten. Jemand, der einige Reihen hinter mir saß, stand auf und sagte: ‚Sie sind wahnsinnig, das ist verrückt. Warum sollte man so etwas tun?!‘
John Mulhall, Sno-Isle Libraries

Vor der Bereitstellung der Talari-Appliances bei Sno-Isle Libraries versuchte das Netzwerkteam von Mulhall, mit DMVPN ein hybrides WAN zu implementieren. Doch die Technologie entpuppte sich als zu komplex.

„Wenn man auf eine ganze Armada von Netzwerktechnikern zurückgreifen kann, denke ich, man schafft es selbst. Ich weiß aber nicht, ob das eine kostengünstige Möglichkeit ist“, sagt Mulhall. „Einer meiner Netzwerktechniker schwor in der Tat Stein und Bein ‚Wir machen das einfach alleine‘. Sie versuchten es mit beschränktem Erfolg, aber es war einfach nicht sinnvoll. Und sollten Ihre gesamten Datendienste davon abhängig sein, bin ich nicht sicher, ob ein Do-it-yourself-Ansatz wirklich so klug wäre. Es ist ganz angenehm, wenn man einen Anbieter hat, auf den man im Falle eines Falles mit dem Finger zeigen und sagen kann ‚Es ist dein Fehler‘“.

Fehlende Praxistests

Mittlerweile gibt es einige Stimmen, die fordern, dass die kommerziellen Produkte weiter getestet werden müssen – eine Aufgabe, mit der sich Mitglieder von ONUGs SD-WAN-Arbeitsgruppe befassen. Im vergangenen Frühjahr führte die Gruppe Verifikationstests der Funktionen für die SD-WAN-Produkte einer Reihe von Anbietern durch.

ONUG-Mitglieder, die aus IT-Fachleuten aus dem Unternehmensbereich bestehen, haben zwei Hauptpunkte auf ihren Wunschlisten für SD-WAN-Produkte: eine offene Möglichkeit, Service Chaining auszuführen, und striktere Performance-Tests, sagt Lippis, der Mitbegründer der Gruppe.

„Etliche der [SD-WAN-Anbieter] sind zurückhaltend, wenn es darum geht, ihre Ausrüstung in großem Maßstab Performance-Tests zu unterziehen. Sie sind also offensichtlich noch nicht dafür bereit, was dann wiederum das Tempo der Bereitstellung verlangsamt“, erklärt Lippis.

Eine Sorge, die Pepelnjak teilt.

„Warten wir mal ab, wie gut sich die Lösungen in der Praxis schlagen, denn im Augenblick befindet sich jeder, mehr oder weniger, in einer frühen Pilotphase“, sagt er. „Wenn jemand 5.000 Knoten im Produktiveinsatz weltweit bereitstellt und dabei exotische Länder wie Kasachstan und die Mongolei und 1.000 Knoten in China verbindet, dann werden wir sehen, wie gut das alles tatsächlich funktioniert.“

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close