Was ist neu an Software-Defined Access?

Traditionelle Netze hatten klare physische Strukturen wie Router, Switches und Kabel. Mit Software-Defined Access (SDA) verschwinden diese Strukturen in einer „Wolke“.

Falko ist Architekt im Bereich Network & Mobility bei avodaq und erinnert sich an die Netzwerke der Vergangenheit. Er fragt sich: Was ist eigentlich neu an Software-Defined Access?

Falko: In meinem Arbeitszimmer hängt über mir noch das Diagramm von meinem ersten Netzwerk. Da sind Router, Switches und ganz viele Leitungen, an denen ich sehen kann, wie die Daten fließen. Es gibt Firewalls, ein WAN-Router und Standleitungen zu den Niederlassungen. Irgendwann wurden diese Standleitungen durch einen MPLS-Provider ersetzt. Dann war es nur noch eine Wolke. Wenn ich mir heute die Netzwerkdiagramme ansehe, dann sind da nur noch Wolken: Services, User, mobile Endgeräte und natürlich das Internet.

Die Einführung von SDN

Alles änderte sich mit der Einführung von Software-Defined Networking (SDN). Ich musste, wie alle anderen auch, alles vergessen, was ich über Netzwerke gelernt hatte, und ganz von vorne anfangen. Was ist eigentlich Software-Defined Networking? Sobald ich ein VLAN einrichte, ist es bereits Software-Defined. Deshalb schauen wir uns die Cloud etwas genauer an.

In der befinden sich immer noch Gateways, die nun Border genannt werden. Sie sind dafür zuständig, sich mit anderen Wolken zu verbinden und sie sprechen BGP (Border Gateway Protocol, erstmals erwähnt in RFC1654, 1994). So gesehen das allmächtige Internetprotokoll, mit dem alle Provider untereinander reden und das gut funktioniert.

Aber in meiner Wolke gibt es viele Router, die viele Verbindungen untereinander haben und IS-IS sprechen (erstmals erwähnt in ISO/IEC 10589, 1992). Dies erinnert mich an einen Artikel von Manay Bhatia der erklärt, warum IS-IS von Dienstanbietern gegenüber OSPF (Open Shortest Path First) bevorzugt wird.

Die Data Plane wird mit VXLAN realisiert (erstmals erwähnt in RFC7348, 2014). Wir stellen unser Netzwerk auf den Kopf und transportieren Schicht 2 über Schicht 3 (nach dem OSI-Modell). Natürlich unter Beibehaltung aller Segmentierungsinformationen.

Die Rolle von virtuellen Netzen und dem Netzwerk Access Control

Aber es gibt so viele Clients, die zu unterschiedlichen Gruppen gehören und voneinander getrennt werden müssen. Da denke ich kurz an meinen MPLS-Provider, der für uns natürlich kein separates Netz gebaut hat, sondern uns einfach einen VRF auf seinem MPLS-Netz zur Verfügung gestellt hat. Damit ist auch schon die Technologie hinter den virtuellen Netzen erklärt, die jetzt übrigens Makrosegmentierung heißt.

Es fehlt noch eine Network Access Control, um die Clients diesen virtuellen Netzen zuzuordnen. Solche 802.1X-Projekte (IEEE 802.1X, 2001 / erstmals erwähnt in RFC2058, 1997) beschäftigen mich seit meinen ersten Arbeitstagen. Sie haben es mir aber auch ermöglicht, mich in den 90er Jahren mit meinem Modem ins Internet einzuwählen. Aber heute sprechen wir von Mikrosegmentierung und verwenden Group Tags, um die Pakete, die durch das Netz gehen, immer mit der Identität des Absenders zu kennzeichnen. Das Konzept von TrustSec wurde erstmals 2007 von Cisco vorgeschlagen. Es war bahnbrechend, so dass andere Hersteller aufsprangen und es adaptierten.

Zusammenfassend kann man sagen, dass es noch viel zu lernen gibt, aber am Ende habe ich nichts Neues entdeckt. Höchstens, dass die einzelnen Instrumente jetzt in einem Orchester zusammenspielen und am Ende eine Symphonie daraus wird. Doch es funktioniert und deshalb kann ich ruhig schlafen.