Das Thema „Breitband“ ist aktuell in den IT-Medien beinahe unüberschaubar präsent. Themen wie der notwendige Glasfaserausbau in ländlichen Regionen als oft genanntes Ziel der Politik, der neue leistungsfähige 10 Gigabit DOCSIS 3.1-Standard in den Kabelnetzen oder der aktuell laufende VDSL Ausbau mit „Supervectoring“ dominieren derzeit die Newskanäle. Gerade in Zentral-Europa besitzen diese doch vergleichsweise günstigen Breitbandprodukte einen durchaus hohen Qualitätsstandard, der diese nicht nur für Heimanwender, sondern auch für Unternehmen interessant macht.
IPSec-basierte Vernetzungen sind seit längerer Zeit durchaus üblich, haben jedoch im Vergleich zu klassischen MPLS- oder CorporateNetwork-Ansätzen entscheidende Nachteile. Diese VPN-Vernetzungen sind aufgrund einfacher Administrierbarkeit nahezu immer sternförmige Strukturen, in deren RahmenFilialen an eine Zentrale angebunden werden. Dezentrale IT-Strukturen lassen sich nur mit deutlich höherem Aufwand abbilden. Aber auch Faktoren wie Carrier-Grade-NAT, dynamische IP-Adressen oder die IPv6-Transition mit DS-Lite und ähnlichen Ansätzen sind oft ein Ärgernis bei der manuellen Konfiguration von VPN-Tunneln.
Hintergrund: Software Defined WAN
Der Begriff „Software Defined WAN“ oder kurz „SD-WAN“ tauchte im Jahre 2013 zum ersten Mal in technischen Veröffentlichungen auf. Auch, wenn sich einige Fachleute über den wirklichen Ursprung dieses Begriffs streiten, ist die Grundidee klar: Das Ziel ist eine overlaybasierte Vernetzung mittels Werkzeugen aus der Netzwerkautomatisierung, um das SDN-Umfeld weitestgehend zu automatisieren und somit effizient das „Internet als WAN“ zu nutzen.
SD-WAN-Lösungen besitzen oft einen zentralen Controller mit einer angebundenen Management-Konsole, die dem Administrator das manuelle Deployment von VPN-Tunneln weitestgehend abnimmt. Somit ist in einem SD-WAN eine vollvermaschte Vernetzung mit hunderten Standorten kein unrealistisches Szenario, sondern kann die Normalität sein. Um dies zu ermöglichen, werden oft altbekannte, ausgereifte Technologien wie IPSec, DMVPN, VXLAN, LISP und BGP mit aktuellen Automatisierungstechnologien wie OpenConfig, YANG und Netconf kombiniert. SD-WANs basieren daher weitestgehend auf durch die IETF und ähnlichen Organisationen standardisierten Technologien. Rein proprietäre Ansätze findet man im SD-WAN eher selten, was ein hohes Grundvertrauen in diese Technologie begründen sollte.
Verschiedene Vorteile von SD-WAN
Ein sehr sinnvoller Ansatz für eine moderne Vernetzung ist die Kombination einer qualitativ hochwertigen, aber teuren MPLS-Vernetzung mit einer breitbandbasierten Vernetzung. Über ein Policy Based Routing auf Applikationsbasis ist es möglich, latenzkritische Dienste wie VoIP- oder Citrix-Anwendungen über das MPLS-Netz zu führen, bandbreitenhungrige Anwendungen wie Fileserver-Zugriffe oder Internet-Surftraffic aber auf die Breitbandverbindungen auszulagern. Dieser hybride Ansatz wird auch gerne als „augmented MPLS“ tituliert, da hier MPLS-basierte Vernetzungen durch Breitbandanschlüsse „angereichert“ werden. Man profitiert von den definierten SLAs eines MPLS-Anschlusses für unternehmenskritische Dienste, kann aber die günstige Bandbreite eines Breitbandproduktes für „Best-Effort Traffic“ nahtlos integrieren und so Bandbreite im MPLS sparen. Die Option des gegenseitigen Backups dieser beiden Anschlussvariationenbringt ebenfalls einen Mehrwert in diesen Ansatz.
SD-WAN und Sicherheit
Immer mehr findet auch das Thema Security seinen Weg in das SD-WAN. Die Gründe liegen auf der Hand: Durch die Nutzung von Breitband sind bereits sehr leistungsfähige Internetanschlüsse an den Standorten vorhanden. Die Schaffung von dezentralen und sicheren Internet-Breakouts an den Remote-Standorten schafft einerseits einen deutlich direkteren Zugang in das Internet – ein Punkt, der besonders in der Integration von SaaS-Cloudapplikationen wie Office365, Salesforce oder Google-Apps in den Geschäftsprozess an Bedeutung zunimmt. Ferner kann ein derart dezentraler Ansatz leistungsfähige und teure zentrale Webgateways im Unternehmensrechenzentrum weitestgehend überflüssig machen. Das zentrale Management unterstützt hier bei der Verteilung von einheitlichen Policys, URL-Filtern und Addressobjekten auf die Remote-Standorte.
Der Wermutstropfen: Das Thema Security steckt in den meisten SD-WAN Produkten noch in den Kinderschuhen, bei vielen Lösungen steht es gar nicht erst auf der Agenda. Hier haben Hersteller, die aus dem Security Bereich kommen und ebenfalls einen Fuß in den SD-WAN-Markt setzen, sicherlich einen Vorsprung gegenüber der Konkurrenz.
Vernetzungslösungen, die auf einem zentralen Controller basieren, haben den Vorteil, dass dem Controller den Zustand des Netzes weitestgehend bekannt ist – das macht ihm zu einem geeigneten Element für das Monitoring eines Netzes. Die Managementkonsolen können also den Einsatz von externen Monitoringlösungen weitergehend überflüssig machen bzw. mit übergeordneten Umbrella-Systemen interagieren. Monitoringfunktionen, die über die bloße Verfügbarkeit und Auslastung von Links hinaus gehen (z.B. das Accounting und die Auswertung von Netzwerk-Flowdaten), sind oft auch in die zentralen Systeme integriert, wodurch das Management-Interface eines SD-WAN das „single pane of Glass“ für die Unternehmensvernetzung sein kann.
Wer macht mit?
Nicht nur die großen Netzwerkhersteller wie Riverbed, Cisco oder Fortinet springen auf den SD-WAN-Zug auf, auch neue Namen wie VeloCloud, Viptela oder Versa versuchen über von Grund auf neu entwickelten SD-WAN-Lösungen und intelligenten Konzepten Ihren Platz in diesem neuen, agilen und sehr interessanten Markt zu finden. Um sich genauer mit dem SD-WAN-Markt auseinanderzusetzen – und um aktuelle News zum Thema zu erhalten – ist die US-amerikanische News-Seite „SDx-Central“ eine gute Anlaufstelle.
Sie möchten sich mit uns über das Thema „SD-WAN“ austauschen? Sprechen Sie uns einfach an – wir freuen uns über Ihre Anfrage!