Software-basierte Netzwerklösungen werden den gestiegenen und dynamischen Anforderungen gerecht. Erfahren Sie, was den SD-WAN-Wandel antreibt und warum die Smart Session Routing Technologie von Juniper Networks ein echter Evolutionsschritt ist.

 

Der Markt für Software Defined Networks wächst über 30 % jährlich. Laut einem Artikel in Digital Chiefs liegen die Gründe auf der Hand: Nicht die erhöhte Wirtschaftlichkeit gilt als treibende Kraft, sondern vielmehr spielen andere Faktoren bei der Entscheidung für eine Software-basierte Netzwerklösung eine entscheidende Rolle.

Faktoren für das starke SD-WAN-Wachstum:

  • Erhöhte Flexibilität und Automatisierung
  • Effiziente Nutzung verfügbarer Ressourcen
  • Providerübergreifende Reichweite und Cloud-Integration
  • Gesteigerte Sicherheit und Zuverlässigkeit
  • Transparente Servicequalität je nach Anwendungsfall

SD-WAN erfüllt dynamische Anforderungen

Natürlich haben herkömmliche IP/MPLS basierte VPN Lösungen für viele Anwendungen immer noch ihre Daseinsberechtigung. Zur Vernetzung von Firmenstandorten bieten sie nach wie vor eine hohe Qualität, Zuverlässigkeit, Sicherheit, Verfügbarkeit und garantierte SLAs auf die vereinbarten KPI´s.

Je mehr Anwendungen jedoch in die Cloud wandern, desto dynamischer werden auch die Anforderungen an das Netz, was wiederum einen höheren Automatisierungsgrad erfordert. Hier kommen diese Lösungen an ihre Grenzen ­– und zwar insbesondere dann, wenn die benötigten Services die Providergrenzen überschreiten.

So versuchen fast alle Hersteller von Netzwerkkomponenten schon seit Jahren – und auch viele Anbieter, die aus der Software-Welt kommen – diese Lücke mit SD-WAN Lösungen zu schließen. Und dabei entwickeln sich auch diese Lösungen weiter: Ein hoch interessanter Ansatz wird nun von Juniper Networks mit der von 128T übernommenen Smart Session Routing Technologie angeboten.

Tunnel Overlay als herkömmliche Lösung

Wie schon in der Cloud führen die gestiegenen Anforderungen an Agilität und Automatisierbarkeit zu der technischen Notwendigkeit der Unterscheidung:

  • Zwischen einem stabilen Underlay Netz, das zuverlässig und mehr oder weniger statisch Transportkapazitäten zur Verfügung stellt.
  • Und einem agilen Overlay, das flexibel und dynamisch Services in jeweils erforderlicher Bandbreite, Menge und Güte bereitstellt.

Bei herkömmlichen Software Defined WAN Lösungen basieren Letztere auf Tunneln, die zwischen den Endpunkten aufgebaut und von einer zentralen Software orchestriert werden.

Die applikationsabhängigen Anforderungen an Sicherheit, Wegewahl, Servicegüte, usw. werden ebenfalls zentral in Policies definiert und an die Endpunkte verteilt. Ergänzt werden diese Lösungen meist durch ausgefeilte Monitoring-, Analyse- und Reporting-Tools, die eine volle Transparenz über die Serviceverfügbarkeit und -güte sicherstellen.

Tunnel Overlay SD-WAN

Session basiertes SD-WAN ohne tunnelbasiertes Overlay

Mit dem Secure Vector Routing (SVR) aus dem Hause 128T beschreitet Juniper Networks jedoch einen fundamental anderen Weg, der SD-WAN ohne tunnelbasiertes Overlay ermöglicht:

  • Hierbei erkennt der Smart Session Router (SSR) am Network Edge, wenn eine Session zu einem anderen Endpunkt benötigt wird.
  • Der Weg dorthin führt über einen weiteren SSR am entfernten Network Edge, der den gesuchten Endpunkt anbindet.
  • Jeder SSR hält die komplette Information über die Topologie, Sessions, individuelle Attribute und Policies.
  • Diese in YANG beschriebene Datenbasis repräsentiert die „Distributed Service-Centric-Controlplane“, die es der „Session-Aware-Dataplane“ erlaubt, dynamische Forwarding und Policy-Entscheidungen zu treffen.

SD-WAN Juniper 128T

Dazu sind die SSRs über ihre öffentlichen IPs, den sogenannten Waypoints, im Netz erreichbar. Zusammen mit der Verwendung des TCP-Ports und einem intelligenten NAT-Verfahren (Network Address Translation) definieren sich Waypoint Adressen für jede einzelne Session, die am Edge wieder gegen die ursprünglichen IP-Adressen des Source-/Destination Paares ausgetauscht werden.

So ergibt sich durch den Einsatz von SSR´s am Edge ein komplett sessionbasiertes, dynamisches Multi-Tenant-Netzwerk, das ohne ressourcenintensive Tunnel auskommt.

Weniger Daten-Overhead, mehr Bandbreite

Ein wesentlicher Vorteil gegenüber einem aus Tunneln bestehenden Overlay liegt in der beträchtlichen Einsparung an Daten-Overhead durch den Wegfall der Encapsulation. Juniper Networks gibt an, durchschnittlich 30 bis 40 % einsparen zu können, wobei die Größenordnung natürlich von der verwendeten Tunneltechnik und Paketgröße abhängig ist.

Bei Anwendungen wie VoIP, die mit sehr kleinen Paketgrößen arbeiten, kann der Tunnelheader je nach eingesetzter Technologie sogar noch größer werden als die Payload. Außerdem ergeben sich gegenüber den häufig IP-Sec basierten SD-WAN Lösungen deutlich geringere Leistungsanforderungen an die CPE Hardware, da die Anforderung an rechenintensive Verschlüsselung auf das notwendige Maß beschränkt werden kann.

Sicherheitsplus gegenüber Overlay Technik

Auch in Sachen Sicherheit steht das SVR basierter SD-WAN einer IP-Sec-Tunnel Lösung als am weitesten verbreiteten Overlay Technik in nichts nach: Erstens sind mittlerweile nahezu alle Verbindungen zwischen Applikationen ohnehin verschlüsselt, weshalb eine weitere Verschlüsselung kein Mehr an Sicherheit bringt. Und zweitens verwendet Juniper Networks/128T mehrere effiziente Ansätze, um die Sessions abzusichern:

  • Deny-By-Default Access Policies
  • Hop-By-Hop Authentifizierung
  • Adaptive Encryption
  • Distributed Firewall
  • Route Directionalitiy
  • Centralized Policy Management

Wer mehr über diese Ansätze erfahren möchte, sollte einen Blick auf die Dokumentation unter juniper.net werfen. Nur ein Feature sei hier hervorgehoben: Adaptive Encryption ermöglicht es, bereits verschlüsselte Daten zu erkennen und nur dann zu verschlüsseln, wenn die Payload unverschlüsselt ist. Wie oben erwähnt, reduziert sich damit der Verschlüsselungsaufwand enorm.

IP-Sec-Tunnel basierte Lösungen bringen zudem einige sicherheitstechnische Herausforderungen mit sich. Die größeren Paketlängen führen mit höherer Wahrscheinlichkeit zu Fragmentierung. Laut RFC 4459 kann diese Fragmentierung durchaus ein Sicherheitsrisiko darstellen und sollte möglichst vermieden werden. Zusammengefasst ergibt sich also auch in Bezug auf die Sicherheit ein Plus gegenüber herkömmlichen Lösungen.

Implementierung und zentrales Management

Die Smart Session Router sind als Virtual Network Function (VNF) konzipiert und lassen sich auf jeder INTEL-basierten COTS-Plattform (physisch oder virtuell), OpenStack, vCloud oder Public Clouds wie zum Beispiel Microsoft Azure oder Amazon AWS betreiben. Damit können Sie die bereitgestellten Services durch Funktionalitäten wie beispielsweise Firewalling, IDS/IPS, WAN-Acceleration oder ähnliches erweitern, die in weiteren VNFs realisiert sind.

Dazu existiert mit dem 128T Conductor ein zentralisiertes Management Tool, das das Policy Management, die Orchestrierung, Administration, Provisionierung, das Monitoring und Analytics Funktionen für die verteilten Session Smart Router bereitstellt. Darüber hinaus bieten SSRs und Conductor offene APIs, die per Netconf, REST und GraphQL angesprochen werden können. So wird auch die Entwicklung eigener anwendungsspezifischer Lösungen zur Automatisierung und Integration in bestehende OSS/BSS Landschaften unterstützt.

Evolution in Sachen SD-WAN

Der Smart Session Routing Ansatz von Juniper Networks/128T bietet für SD-WAN Anwendungen alles, was herkömmliche auf Tunnel-Overlays gestützte Lösungen auch bieten. Und zwar ohne die Nachteile, die durch den Einsatz von Tunneln entstehen ­­­– wie insbesondere der enorme Bandbreiten Overhead.

Darüber hinaus ermöglicht die Session basierte Lösung eine höhere Flexibilität, Dynamik, Skalierbarkeit und Sicherheit, so dass man durchaus von einem Evolutionsschritt in der SD-WAN Welt reden kann.

Thomas Funke | LEITER PROFESSIONAL SERVICES DIVISION CARRIER Thomas Funke, Leiter Professional Services Division Carrier: Thomas Funke ist seit 1998 in der IT tätig. Er war viele Jahre bei verschiedenen Telekommunikationsunternehmen in leitender Funktion im Bereich Operations tätig bis er 2012 zur Axians Networks & Solutions wechselte. Hier verantwortet er das Team Professional Services in der Division Carrier.