Hinter­grund und tech­ni­sche Details: Soft­ware Defined WAN (SD-WAN)

Das Thema „Breit­band“ ist aktuell in den IT-Medien beinahe unüber­schaubar präsent. Themen wie der notwen­dige Glas­fa­ser­ausbau in länd­li­chen Regionen als oft genanntes Ziel der Politik, der neue leis­tungs­fä­hige 10 Gigabit DOCSIS 3.1-Standard in den Kabel­netzen oder der aktuell laufende VDSL Ausbau mit “Super­vec­to­ring” domi­nieren derzeit die Newska­näle. Gerade in Zentral-Europa besitzen diese doch vergleichs­weise güns­tigen Breit­band­pro­dukte einen durchaus hohen Quali­täts­stan­dard, der diese nicht nur für Heim­an­wender, sondern auch für Unter­nehmen inter­es­sant macht.
IPSec-basierte Vernet­zungen sind seit längerer Zeit durchaus üblich, haben jedoch im Vergleich zu klas­si­schen MPLS- oder Corpo­ra­te­Net­work-Ansätzen entschei­dende Nach­teile. Diese VPN-Vernet­zungen sind aufgrund einfa­cher Admi­nis­trier­bar­keit nahezu immer stern­för­mige Struk­turen, in deren Rahmen­Fi­lialen an eine Zentrale ange­bunden werden. Dezen­trale IT-Struk­turen lassen sich nur mit deut­lich höherem Aufwand abbilden. Aber auch Faktoren wie Carrier-Grade-NAT, dyna­mi­sche IP-Adressen oder die IPv6-Tran­si­tion mit DS-Lite und ähnli­chen Ansätzen sind oft ein Ärgernis bei der manu­ellen Konfi­gu­ra­tion von VPN-Tunneln.

Hinter­grund: Soft­ware Defined WAN

Der Begriff „Soft­ware Defined WAN“ oder kurz „SD-WAN“ tauchte im Jahre 2013 zum ersten Mal in tech­ni­schen Veröf­fent­li­chungen auf. Auch, wenn sich einige Fach­leute über den wirk­li­chen Ursprung dieses Begriffs streiten, ist die Grund­idee klar: Das Ziel ist eine over­lay­ba­sierte Vernet­zung mittels Werk­zeugen aus der Netz­werk­au­to­ma­ti­sie­rung, um das SDN-Umfeld weitest­ge­hend zu auto­ma­ti­sieren und somit effi­zient das „Internet als WAN“ zu nutzen.
SD-WAN-Lösungen besitzen oft einen zentralen Controller mit einer ange­bun­denen Manage­ment-Konsole, die dem Admi­nis­trator das manu­elle Deploy­ment von VPN-Tunneln weitest­ge­hend abnimmt. Somit ist in einem SD-WAN eine voll­ver­maschte Vernet­zung mit hunderten Stand­orten kein unrea­lis­ti­sches Szenario, sondern kann die Norma­lität sein. Um dies zu ermög­li­chen, werden oft altbe­kannte, ausge­reifte Tech­no­lo­gien wie IPSec, DMVPN, VXLAN, LISP und BGP mit aktu­ellen Auto­ma­ti­sie­rungs­tech­no­lo­gien wie Open­Config, YANG und Netconf kombi­niert. SD-WANs basieren daher weitest­ge­hend auf durch die IETF und ähnli­chen Orga­ni­sa­tionen stan­dar­di­sierten Tech­no­lo­gien. Rein proprie­täre Ansätze findet man im SD-WAN eher selten, was ein hohes Grund­ver­trauen in diese Tech­no­logie begründen sollte.

Verschie­dene Vorteile von SD-WAN

Ein sehr sinn­voller Ansatz für eine moderne Vernet­zung ist die Kombi­na­tion einer quali­tativ hoch­wer­tigen, aber teuren MPLS-Vernet­zung mit einer breit­band­ba­sierten Vernet­zung. Über ein Policy Based Routing auf Appli­ka­ti­ons­basis ist es möglich, latenz­kri­ti­sche Dienste wie VoIP- oder Citrix-Anwen­dungen über das MPLS-Netz zu führen, band­brei­ten­hung­rige Anwen­dungen wie File­server-Zugriffe oder Internet-Surf­traffic aber auf die Breit­band­ver­bin­dungen auszu­la­gern. Dieser hybride Ansatz wird auch gerne als „augmented MPLS“ titu­liert, da hier MPLS-basierte Vernet­zungen durch Breit­band­an­schlüsse „ange­rei­chert“ werden. Man profi­tiert von den defi­nierten SLAs eines MPLS-Anschlusses für unter­neh­mens­kri­ti­sche Dienste, kann aber die güns­tige Band­breite eines Breit­band­pro­duktes für “Best-Effort Traffic” nahtlos inte­grieren und so Band­breite im MPLS sparen. Die Option des gegen­sei­tigen Backups dieser beiden Anschluss­va­ria­tio­nen­bringt eben­falls einen Mehr­wert in diesen Ansatz.

SD-WAN und Sicherheit

Immer mehr findet auch das Thema Secu­rity seinen Weg in das SD-WAN. Die Gründe liegen auf der Hand: Durch die Nutzung von Breit­band sind bereits sehr leis­tungs­fä­hige Inter­net­an­schlüsse an den Stand­orten vorhanden. Die Schaf­fung von dezen­tralen und sicheren Internet-Brea­k­outs an den Remote-Stand­orten schafft einer­seits einen deut­lich direk­teren Zugang in das Internet - ein Punkt, der beson­ders in der Inte­gra­tion von SaaS-Cloudap­pli­ka­tionen wie Office365, Sales­force oder Google-Apps in den Geschäfts­pro­zess an Bedeu­tung zunimmt. Ferner kann ein derart dezen­traler Ansatz leis­tungs­fä­hige und teure zentrale Webgate­ways im Unter­neh­mens­re­chen­zen­trum weitest­ge­hend über­flüssig machen. Das zentrale Manage­ment unter­stützt hier bei der Vertei­lung von einheit­li­chen Policys, URL-Filtern und Address­ob­jekten auf die Remote-Standorte.
Der Wermuts­tropfen: Das Thema Secu­rity steckt in den meisten SD-WAN Produkten noch in den Kinder­schuhen, bei vielen Lösungen steht es gar nicht erst auf der Agenda. Hier haben Hersteller, die aus dem Secu­rity Bereich kommen und eben­falls einen Fuß in den SD-WAN-Markt setzen, sicher­lich einen Vorsprung gegen­über der Konkurrenz.
Vernet­zungs­lö­sungen, die auf einem zentralen Controller basieren, haben den Vorteil, dass dem Controller den Zustand des Netzes weitest­ge­hend bekannt ist - das macht ihm zu einem geeig­neten Element für das Moni­to­ring eines Netzes. Die Manage­ment­kon­solen können also den Einsatz von externen Moni­to­ring­lö­sungen weiter­ge­hend über­flüssig machen bzw. mit über­ge­ord­neten Umbrella-Systemen inter­agieren. Moni­to­ring­funk­tionen, die über die bloße Verfüg­bar­keit und Auslas­tung von Links hinaus gehen (z.B. das Accoun­ting und die Auswer­tung von Netz­werk-Flow­daten), sind oft auch in die zentralen Systeme inte­griert, wodurch das Manage­ment-Inter­face eines SD-WAN das „single pane of Glass“ für die Unter­neh­mens­ver­net­zung sein kann.

Wer macht mit?

Nicht nur die großen Netz­werk­her­steller wie Riverbed, Cisco oder Fortinet springen auf den SD-WAN-Zug auf, auch neue Namen wie Velo­Cloud, Viptela oder Versa versu­chen über von Grund auf neu entwi­ckelten SD-WAN-Lösungen und intel­li­genten Konzepten Ihren Platz in diesem neuen, agilen und sehr inter­es­santen Markt zu finden. Um sich genauer mit dem SD-WAN-Markt ausein­an­der­zu­setzen - und um aktu­elle News zum Thema zu erhalten - ist die US-ameri­ka­ni­sche News-Seite “SDx-Central” eine gute Anlaufstelle.
Sie möchten sich mit uns über das Thema “SD-WAN” austau­schen? Spre­chen Sie uns einfach an - wir freuen uns über Ihre Anfrage!

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern