Wie Unternehmensnetzwerke WAN-Virtualisierung nutzen
SD-WAN ist die häufigste Form der WAN-Virtualisierung. Aber virtuelle WAN-Strategien entwickeln sich weiter und umfassen auch Software-defined-Perimeter- und Cloud-Konzepte.
Virtualisierung ist ein Kernelement bei Netzwerkdesign, -management und -sicherheit in modernen Unternehmen. Überraschenderweise hat in den meisten Firmen Virtualisierung zuletzt Eingang in das WAN gefunden, aber in kurzer Zeit ein sehr hohes Niveau erreicht.
Die Provider verwenden Virtualisierung aus den gleichen wichtigen Gründen wie Unternehmen. Dazu gehören:
Kostenreduzierung durch gemeinsame Nutzung der Infrastruktur, anstatt sie für verschiedene Anwendungsfälle zu duplizieren.
Datenschutz und Sicherheit durch logische Segmentierung des Traffics auf der geteilten Infrastruktur.
Performance-Management speziell für den Traffic in einem virtuellen Netzwerk.
Abstraktionsschicht
Unternehmensspezifische Virtualisierung kam Mitte der 2010er Jahre auf. Das ursprüngliche Ziel dieser Strategien bestand darin, Virtualisierung auf die zugrunde liegende Konnektivität in Enterprise-WANs auszuweiten. Diese Virtualisierungsplattformen bieten eine Abstraktionsschicht direkt oberhalb der WAN-Verbindungen. Somit lässt sich die Kapazität dann dem WAN-Traffic zuordnen, anstatt den Traffic auf eine bestimmte Schnittstelle zu konzentrieren.
Physische Konnektivität
Die physischen Verbindungen befinden sich unterhalb dieser Abstraktionsschicht. Aufgrund der Abstraktion erfordern Änderungen im Verbindungspool – zum Beispiel der Anbieterwechsel – keine Änderungen bei der Kapazitätsnutzung. Dadurch lassen sich die folgenden zwei Ziele erreichen:
Verschiedene separate Aspekte können wie ein einziger wirken.
Ein einziger Aspekt kann wie viele verschiedene wirken.
Mit anderen Worten: Abstraktion lässt verschiedene separate Verbindungen wie eine einzige aussehen, die verfügbar ist, solange eine der Verbindungen funktioniert. Infolgedessen ist es den Plattformen möglich, den Traffic von einer ausgefallenen oder fehlerhaften Verbindung zu einer funktionierenden Verbindung umzuleiten, und zwar transparent für Anwendungen und Nutzer. Außerdem kann so die aggregierte Bandbreite mehrerer Verbindungen je nach Bedarf verschiedenen Traffic-Klassen zugewiesen werden.
Virtuelles WAN-Overlay
Die Virtualisierung der physischen Details der WAN-Konnektivität war der entscheidende erste Schritt auf dem Weg zur WAN-Virtualisierung. Da die enge Kopplung des logischen WANs mit dem physischen WAN aufgehoben wurde, war es möglich, mehrere logische WANs (virtuelle WANs) als Overlay für dieselbe physische Schicht zu erstellen.
Virtuelle WANs können die Gesamtkapazität aufteilen und verschiedenen Traffic-Klassen zuweisen, je nach Anwendungsanforderungen, betrieblicher Priorität oder anderen individuellen Kriterien, die im Laufe der Zeit entstehen. Für verschiedene Untergruppen von Standorten und Benutzern können unterschiedliche Regeln zur Verwaltung des WAN-Traffics gelten.
SD-WAN
Software-defined WAN (SD-WAN) hat sich als logischer Endpunkt der zunehmenden WAN-Virtualisierung erwiesen. SD-WAN wendet die Trennung zwischen Control Plane und Data Plane, die das Herzstück von Software-defined Networking bilden, vollständig auf die Probleme des WANs an.
SD-WAN unterstützt das WAN-Management nicht als große Anzahl einzelner Standorte, sondern als Einheit. Zu Verwaltungszwecken abstrahiert SD-WAN so viele Details des Konnektivitätsprofils eines bestimmten Standorts wie möglich. Diese Abstraktion ermöglicht es den Netzwerkmanagern, sich auf die Definition von Richtlinien für das Traffic-Management auf einer höheren Ebene als Schnittstellenkonfigurationen zu konzentrieren.
Allerdings ist auch SD-WAN kein Patentrezept. Irgendjemand muss sich immer mit den Details der physischen Konnektivität auseinandersetzen, sei es ein Netzwerktechniker des Unternehmens oder ein MSP-Techniker. Die Anzahl dieser Personen sowie die Häufigkeit und Form, mit der sie sich um die Details des Underlays kümmern müssen, sollte jedoch stark abnehmen.
Designverfahren und -überlegungen für virtuelle WANs
Sicherheitsaspekte
Aus Sicherheitsgründen können virtuelle WANs Teil einer Zero-Trust-Architektur sein. Ein SD-WAN kann beispielsweise virtuelle WANs erstellen, die nur zugelassenen Traffic übertragen und nicht erlaubten Traffic verwerfen.
Ein Software-defined Perimeter (SDP) definiert ein Eins-zu-eins-VPN zwischen Quelle und Ziel. Wenn die Kommunikation standortübergreifend ist, handelt es sich um eine weitere Form eines sicherheitsorientierten virtuellen WANs.
Netzwerktechniker, die virtuelle WANs als Sicherheitsbereiche verstehen, müssen sich eingehend mit den Implementierungsdetails der zugrunde liegenden Designs beschäftigen, um zu gewährleisten, dass der Traffic bei Überlastung verworfen wird (Fail Open), anstatt ihn ohne vollständige Policy-Verarbeitung fließen zu lassen (Fail Closed). Die meisten herkömmlichen WAN-Angebote arbeiten nach dem Fail-Closed-Verfahren. Das heißt, sie verwerfen den Datenverkehr nicht, sondern lassen ihn durch, da das klassische Ziel des WANs darin besteht, alle Pakete zuzustellen. Strategien, die mehr auf Sicherheit ausgerichtet sind, setzen hingegen auf das Fail-Open-Verfahren – oder bieten die Möglichkeit dazu. Schließlich lautet ihr übergeordnetes Ziel, sicherzustellen, dass der Traffic nur entsprechend den Richtlinien passieren darf.
Performance-Aspekte
Die meisten Angebote arbeiten besser, wenn weniger Traffic-Klassen verwaltet werden müssen. Deshalb sollten Netzwerkteams dem Drang widerstehen, für jede Anwendung oder Abteilung eine eigene Klasse festzulegen. Wenn es die Sicherheit zulässt, sollten Teams beispielsweise eine Klasse für Tools zur Echtzeitkommunikation und eine Klasse für alle Tools zuweisen, die Daten mit engen Zeitvorgaben übertragen, wie bei Backup und E-Mail.
Ein Aspekt der WAN-Virtualisierung, den Netzwerkteams nicht vernachlässigen dürfen – der aber bei der Entwicklung von WAN-Strategien gerne übersehen wird –, ist das Underlay-Management.
Ein Aspekt der WAN-Virtualisierung, den Netzwerkteams nicht vernachlässigen dürfen – der aber bei der Entwicklung von WAN-Strategien gerne übersehen wird –, ist das Underlay-Management. Sobald ein SD-WAN-Tool installiert ist und die Standorte problemlos die Konnektivität von mehreren Providern aggregieren können, setzt ein Provider-Wildwuchs ein. Für ein Unternehmen ist es einfach, so viele Konnektivitätsanbieter wie Standorte zu nutzen – mindestens.
Obwohl die technischen Aspekte, eine solch umfangreiche Konnektivität einzusetzen, unter der Haube des SD-WANs verborgen sind, gilt das nicht für die organisatorischen Gesichtspunkte. Dazu zählen etwa Abrechnungsfragen und -streitigkeiten, Vertragsmanagement, Trouble Tickets etc. WAN-Teams sollten eine Strategie für die Verwaltung des Provider-Pools festlegen, zum Beispiel nur zwei Anbieter pro Ballungsraum, Bundesland, Region oder Land. Eine weitere Option besteht darin, das Problem an einen Konnektivitätsaggregator oder einen Managed-SD-WAN-Anbieter auszulagern.
Bei der Umstellung auf WAN-Virtualisierung legen die meisten Unternehmen ein SD-WAN über ihre bestehende primäre WAN-Konnektivität – häufig MPLS – und überlassen ihm die Routing- und Virtualisierungsaufgaben. Sie können vorhandene oder neue Backup-Links einbinden, um resiliente Active-Active-Verbindungen mit deutlich erhöhter Bandbreite bereitzustellen.
Viele Unternehmen arbeiten zunächst nur mit einer begrenzten Anzahl von Standorten, üblicherweise in der derselben Region, und nutzen diese als Teststandorte, um geeignete Traffic-Klassen und standortbasierte Richtliniengruppen festzulegen. Die meisten Firmen ermöglichen zudem den direkten Zugriff auf ausgewählte Internetziele von diesen Zweigstellen aus und richten im Prinzip virtuelle WANs pro erlaubter Cloud-Plattform ein. Diese werden oft zu den wichtigsten virtuellen WANs, weil der Großteil des WAN-Traffics außerhalb des Netzwerks stattfindet, unabhängig davon, ob er von diesen externen Umgebungen ausgeht oder dort endet.
