Der Weg vom "normalen" Netzwerk zu SDN – Teil 2 - Ratgeber - Heise Partnerzones Ratgeber . Cisco, Networks, SDN, ACI . Application Centric Infrastructure (ACI) simplifies, optimizes, and accelerates the application deployment lifecycle in next-generation data centers and clouds. /styles/zones/basis.css

Zukunftssichere Netzinfrastrukturen

Use Cases: Wie sich SDN sinnvoll einsetzen lässt

Der Weg vom "normalen" Netzwerk zu SDN – Teil 2

Es gibt eine ganze Reihe von Anwendungsfällen, in denen SDN seine Stärken ausspielen kann. Software-Defined Networking bedeutet in diesen Szenarien nicht zwangsläufig "OpenFlow". Auch andere SDN-Techniken, etwa auf Basis des OpFlex-Protokolls und der ONE-Architektur von Cisco Systems oder von Overlay-Netzen bieten vergleichbare Vorteile.

Beispiel 1: Quality of Service nach Bedarf

Ein Einsatzfeld von SDN sind Netzwerke mit Diensten, die eine bestimmte Dienstgüte (Quality of Service, QoS) benötigen. QoS bedeutet, dass einzelnen Anwendungen, Nutzern oder Data Flows Vorrang vor anderen eingeräumt wird, etwa in Form einer garantierten Bandbreite. Voice-over-IP-Daten oder Videos, die eine Echtzeitübertragung erfordern, werden beispielsweise bevorzugt behandelt. Das heißt, ihnen stellen Netzwerksysteme wie Router und Switches eine garantierte Bandbreite und fest definierte Verzögerungszeiten (Packet Delay) zur Verfügung.

 - Software-Defined Networking lässt sich einsetzen, um bei Satellitenverbindungen oder der Kommunikation mithilfe von Mikrowellensystemen Schwankungen der Bandbreite auszugleichen. In diesem Fall werden den Switch- oder Router-Ports je nach Bandbreite automatisch entsprechende Quality-of-Service-Merkmale zugewiesen.    Bild: Cisco Systems

Software-Defined Networking lässt sich einsetzen, um bei Satellitenverbindungen oder der Kommunikation mithilfe von Mikrowellensystemen Schwankungen der Bandbreite auszugleichen. In diesem Fall werden den Switch- oder Router-Ports je nach Bandbreite automatisch entsprechende Quality-of-Service-Merkmale zugewiesen. Bild: Cisco Systems

Bislang sind solche QoS-Funktionen statisch an einen bestimmten Port eines Switches oder Routers gekoppelt. Die 100-MBit/s-Schnittstelle eines solchen Systems stellt beispielsweise für VoIP exakt 10 MBit/s zur Verfügung. Kommunikationstechniken wie etwa Satellitenverbindungen oder Mikrowellen-Übertragungssysteme verwenden jedoch adaptive Modulationsverfahren. Je nach Wetterverhältnissen, der Länge der Übermittlungsstrecke und abhängig von Hindernissen auf dem Übertragungsweg kann sich die Signalqualität ändern. Das beeinträchtigt möglicherweise die Bandbreite und QoS-Eigenschaften. Die Folgen: VoIP-Telefonate oder Echtzeit-Transaktionen von Datenbanken sind nicht mehr möglich.

SDN dagegen ermöglicht es, auf solchen Änderungen zu reagieren. Dazu sind Application Programming Interfaces (APIs) bei den Netzwerksystemen erforderlich. Sinkt beispielsweise die Bandbreite an einem Router oder Switch unter den Pegel, den bestimmte Anwendungen benötigen, wird dies vom SDN-Prozess auf dem Router registriert. Dieser Prozess meldet das Problem an eine SDN-Komponente auf einem Server weiter. Dieser wiederum weist der Schnittstelle dann eine andere QoS-Policy zu, die von einer geringeren Bandbreite ausgeht. Diese Anpassung läuft ohne Zutun des Netzwerkadministrators ab. Cisco nutzt für diesen Zweck sein onePK-Toolkit.

Beispiel 2: Diversion Networking

Ein weiteres Einsatzbeispiel für ein SDN-Netzwerk, das Cisco in einem White Paper zum Thema SDN-Use-Cases aufführt, ist "Diversion Networking". Darunter ist das Abtrennen und Umlenken von Data Flows zu verstehen, die verdächtige Daten enthalten. Diese Daten werden zur Untersuchung in ein Netzwerksegment umgeleitet, in dem Sicherheits-Analysesysteme vorhanden sind.

 - Mithilfe von SDN können aus Breitband-Links mit 10 GBit/s oder höher einzelne Data Flows ausgegliedert und zur Analyse an IT-Security-Systeme weitergeleitet werden. Dies erfolgt mithilfe von SDN-Komponenten, die beispielsweise OpenFlow, OpFlex oder onePK unterstützen.    Bild: Cisco Systems

Mithilfe von SDN können aus Breitband-Links mit 10 GBit/s oder höher einzelne Data Flows ausgegliedert und zur Analyse an IT-Security-Systeme weitergeleitet werden. Dies erfolgt mithilfe von SDN-Komponenten, die beispielsweise OpenFlow, OpFlex oder onePK unterstützen. Bild: Cisco Systems

Dieses Verfahren wird sowohl von Service-Providern als auch in Unternehmensnetzen eingesetzt. Es basiert auf der Echtzeitanalyse von Daten. Das Problem dabei: Selbst Hochleistungs-IT-Security-Systeme sind Bandbreiten von 10 oder 100 GBit/s nicht gewachsen, die im lokalen Netz mittlerweile zum Einsatz kommen. Auch auf Weitverkehrsstrecken (Wide Area Networks, WANs) kommen zunehmend Verbindungen mit mehreren 100 MBit/s oder GBit/s zum Zuge. Erforderlich ist eine Möglichkeit, einen Teil des Netzwerkverkehrs vom Standard-Routing-Pfad abzuzweigen und einer Inspektion zu unterziehen.

Auch das lässt sich mithilfe von SDN durchführen. Dazu wird ein Teil des Datenverkehrs, der über Internet- oder WAN-Verbindungen in das Unternehmensnetz läuft, an einen Server mit einer Analyse-Applikation weitergeleitet. Dabei kann es sich um Kopien der Datenpakete oder die Original-Pakete handeln. Die Abtrennung eines Data Flows kann anhand der Quell- und Zieladresse erfolgen, aber auch auf Basis des Protokolls, der TCP-Flags oder eines Musters in der Nutzlast der Pakete. Zudem lassen sich Regelwerke (Policies) einsetzen.

1 | 2