Auf Basis der richtigen Technologie-Entscheidungen können die Netzwerk-Teams in den Unternehmen sich in Zukunft auf die Verbindungsdienste und nicht mehr die Netzwerke konzentrieren.
Die Netzwerkerei – heißt es in den meisten Unternehmen – ist immer noch viel zu kompliziert. Netzwerkprobleme können die Anbindung neuer Standorte erheblich verzögern, mobile Arbeitspläne blockieren und sogar den Betrieb ganzer Unternehmen, aufgrund von Staus oder Ausfällen, teilweise oder ganz lahmlegen. Was immer in der Netzwerkabteilung geplant wird, was immer auch an das Netzwerk angebunden werden soll, es dauert immer wesentlich länger als vorhergesagt. Die Unternehmen suchen daher nach besseren Lösungen. Viele Unternehmen suchen ihr Heil in Network as a Service (NaaS).
In vielen Fällen lassen sich die Probleme, die wir heute mit den Netzwerken noch immer haben, auf die Verbindung von IP oder Ethernet zurückführen. Netzwerke sind extrem anpassungsfähig und kooperieren mit anderen Ressourcen. Um mit einem anderen Netzwerk in Verbindung zu treten, muss eine Kooperation hergestellt werden. Dies erfolgt über ein entsprechendes Edge-Device, welches das eine Netzwerk an die kollektiven Regeln anpasst. Das Netzwerk wird dadurch nicht zu einem Nutzer eines anderen Netzwerks, sondern zu dessen festem Mitglied. Der Zugriff auf eine URL, die die eigentliche Anwendung repräsentiert, kann vom Netzwerk erfüllt werden, ebenso aber auch eine nahezu unendliche Anzahl anderer „Anforderungen“, die in den meisten Fällen gar nicht benötigt werden. Diese zusätzliche Komplexität ist der Preis für eine generalisierte Kommunikation.
Network as a Service (NaaS) wird oft als Möglichkeit zur externen Kommunikation angesehen. Da sich jedoch ein Großteil der Ziele der genutzten Anwendungen im lokalen Netz befindet, kann man auch die externe Kommunikation mittels IP und/oder Ethernet abwickeln. Eigentlich erhält man durch ein solches Netzkonstrukt am Ende viel mehr als nur eine reine Verbindung zu einer Anwendung. Aus diesem Grund muss durch den Einsatz von NaaS verhindert werden, dass wir wieder ein ganzes Netzwerk neu bauen müssen, wenn wir unsere Rechner mit einer Anwendung verbinden wollen. Auf den ersten Blick erscheint diese Anforderung nicht erfüllbar zu sein. Aber bei genauerer Analyse erkennen wir, dass wir bereits etwas Ähnliches nutzen und dieses Etwas wird als „Software-Defined-WAN“, kurz SD-WAN, bezeichnet.
SD-WAN … oder NaaS?
Das Software-Defined-WAN wurde als eine Möglichkeit zur erweiterten Nutzung des Internet für IP-VPNs entwickelt. Ein Edge-Gerät verfügt sowohl über Verbindungen zu einem traditionellen VPN als auch dem Internet und baut damit ein Overlay-VPN-Netzwerk über das Internet auf. Dieses Overlay-VPN-Netzwerk ist der einzige verfügbare Pfad für das betreffende Endgerät. Dieser kann neben der normalen Nutzung als klassischer Datentransferpfad ebenfalls als Backup-Pfad, Workload-Burst-Pfad usw. eingesetzt werden. SD-WANs werden derzeit in der Regel nicht wie eine futuristische NaaS-Lösung verkauft. In Wirklichkeit stellen diese Lösungen jedoch genau ein solches futuristisches Kommunikationskonstrukt dar.
Stellen wir uns vor, ein Benutzer will eine Verbindung zu einer Anwendung aufbauen. In der realen Welt würde dieser wahrscheinlich auf eine URL klicken. Dieser Aufruf würde dazu führen, dass ein Steuerpaket übermittelt wird. Der Domain-Name-Server (DNS) beantwortet die Anfrage mit der IP-Adresse des Servers, auf dem die Anwendung arbeitet. Nehmen wir an, dass die DNS-Antwort von der SD-WAN-CPE abgefangen wird und die CPE zuerst überprüft ob eine NaaS-Verbindung zu dem betreffenden Standort besteht. Besteht eine entsprechende Verbindung, dann wird die Adresse an den Benutzer zurückgegeben. Besteht keine entsprechende Verbindung, wird eine Verbindung zum entsprechenden Server aufgebaut. Klingt dieser Vorgang nicht wie ein NaaS?
Dieser Ansatz erscheint auf den ersten Blick radikal und neu zu sein, aber es ist eine Tatsache, dass dieses Konzept schon seit fast einem Jahrzehnt zur Verfügung steht. Es wurde entwickelt, damit IP-Netzwerke die verbindungsorientierten Technologien (Frame-Relay oder ATM) nutzen konnten. Wie beim oben beschriebene Modell baut das so genannte „Next-Hop Resolution Protocol“ (NHRP) eine ATM/Frame-Relay-Verbindung auf, um einen Pfad als Reaktion auf eine entsprechende Anforderung herzustellen. Die notwendigen NHRP-Protokolle und -Prozesse wurden bereits von vielen Herstellern in den jeweiligen SD-WAN Lösungen implementiert.
Dies könnte zu einer tiefgreifenden Veränderung in der Unternehmensvernetzung führen. Jede Niederlassung beschafft sich eine Box und einen SD-WAN-Service. Die Box verwendet Tunnel/Overlays auf Basis von IP oder Ethernet und baut damit eine Verbindung zu einer anderen Box am Rande des Rechenzentrumsnetzwerks auf. Da bei vielen Unternehmen bereits die entsprechenden VPNs und das Internet genutzt werden, erscheint die oben dargestellte Lösung als unnötig. Mag sein, aber diese Lösung bietet ein paar Vorteile:
- Die SD-WAN-Service bieten eine neue Dimension der Anwendungssicherheit. Jede Anwendung verfügt heute über eine separate IP-Adresse. Theoretisch kann jeder VPN-Benutzer versuchen sich mit der Anwendung zu verbinden, wenn keine Schutzmechanismen dagegen etabliert wurden. Im SD-WAN-NaaS-Modell müssen alle Benutzer eine Verbindung anfordern, damit ihre Zugriffsrechte authentifiziert werden können, bevor diese ein Paket an den betreffenden Server schicken kann. Die Sicherheit wird dadurch ebenfalls verbessert, denn ohne Zugang zum SD-WAN-Overlay hat kein Benutzer die Möglichkeit auf das SD-WAN-Service-Feld im Rechenzentrum zuzugreifen und erhält somit auch keinen Zugang auf die Anwendung.
- Durch die Regeln der Netzneutralität können die Anwendungen von den Providern nicht individuell priorisiert werden. Will man im WAN eine Priorisierung realisieren, dann sollten die Benutzer auf die Anwendungen über eine SD-WAN-NaaS-Box zugreifen. In dieser werden die Nutzer bzw. die Anfragen entsprechend den dafür vorgesehenen Prioritäten zugeordnet. Diese QoS-Regeln ließen sich an die Netzwerke weitergeben, das die Verbindungen zu den Standorten realisiert.
Demnach sind die Network-as-a-Services der Tod der klassischen Unternehmensnetzwerke? Zumindest für die Art von Netzwerken, wie wir sie bisher kennen. Wird die Netzneutralität im Internet eines Tages aufgegeben (was die Trump-Administration bereits angekündigt hat) machen die SD-WAN-NaaS vermutlich die privaten WANs überflüssig. Aber die Unternehmen müssten immer noch die Verbindung von der Applikation zu den Nutzern und die LANs an den Filial- und Rechenzentrumsstandorten verwalten. Da nur wenige Unternehmen ihre eigenen WANs auf VPN-Services aufbauen, ist diese Lösung wenig verbreitet.
Aus diesem Grund sollten die Netzwerkabteilungen in den Unternehmen sich nicht mehr um den Aufbau von Netzwerken, sondern den Aufbau von Netzwerk-Services kümmern. Auf Basis einer Kombination aus SD-WAN, NaaS und NHRP können die Netzwerkteams sich wieder auf die eigentlichen Aufgaben konzentrieren und viel Angriffsfläche beseitigen.
