Software Defined Networks im Campus
Mit herkömmlichen Methoden stösst man in der Netzwerk-Konfiguration irgendwann an Grenzen. Software Defined Networks (SDN) bringt einige Vorteile und ermöglicht beispielsweise das einfache und schnelle Einrichten von Zugriffsrechten und Authentifizierungen.
SDN hat sich in den letzten Jahren in der IT zu einem regelrechten Buzzword entwickelt. Wurde die Methode anfänglich vor allem im Datacenter-Bereich verwendet, drängen nun mehr und mehr Anbieter mit neuen Lösungen für den Campus-Bereich vor. Die Prognosen sind verheissungsvoll: Manche Anbieter versprechen dank SDN eine starke Vereinfachung sowie deutlich schnellere und agilere Netzwerklösungen als mit traditionellen Ansätzen.
Doch halten die Versprechungen den Anforderungen stand? Was bleibt übrig, wenn man die Marketing-Brille abnimmt und sich die SDN-Lösungen nüchtern betrachtet? Welches Potenzial steckt in SDN? Und kann eine «normale» IT-Abteilung dieses Potenzial überhaupt ausschöpfen? Die ITRIS-Spezialisten haben sich die SDN-Lösung des Marktführers Cisco für den Campus-Bereich genauer angeschaut.
Zwei Ebenen für Basis-Konnektivität
Die meisten herkömmlichen Campus-Netzwerke bestehen aus zwei Ebenen. Auf der ersten Ebene befinden sich ein oder mehrere Core Switches, auf der zweiten Ebene mehrere Access Switches. Ergänzt wird dieses Set-up meist von diversen Access Points, die an den Access Switches angeschlossen werden.
Bei herkömmlichen Lösungen erfolgt die Konfiguration der Switches und Access Points mittels CLI. Zwecks Ausfallsicherheit werden redundante Links integriert, zudem kommt meist das nunmehr seit fast 30 Jahren genutzte Spanning-Tree-Protokoll zum Einsatz – mit all seinen Vor- und Nachteilen.
Um eine Segmentierung des Netzwerks zu ermöglichen, können mehrere VLANs implementiert werden. Dabei routet der Core Switch zwischen den verschiedenen Segmenten. Damit kann ein gut funktionierendes, für unterschiedliche Zwecke geeignetes Netzwerk erstellt werden, das die meisten Bedürfnisse an die Konnektivität abdeckt.
Die Grenzen herkömmlicher Lösungen
Die Erfahrung zeigt, dass für viele Firmennetzwerke die oben beschriebene Konstellation das Maximum der vorhandenen Möglichkeiten darstellt. Mehr wird oft nicht gemacht. Weder erfolgen weitere Tunings des Netzwerks, noch werden granulare Zugriffsrichtlinien oder Zugriffskontrollen für Benutzerinnen und Benutzer des Netzwerks eingerichtet.
Themen wie Quality of Service, Port Based Authentication oder granulare Zugriffsrechte sind nur mit zusätzlichem Aufwand zu erreichen. Zudem kann etwa das Monitoring von zahlreichen unterschiedlichen Zugriffsrechten eine Herausforderung darstellen.
SDN von Cisco
An diesem Punkt setzt Software-Defined-Lösung von Cisco an. Anders als bei herkömmlichen LANs, bei denen sämtliche Geräte einzeln mittels CLI konfiguriert werden, richtet man die Geräte bei dieser SDN-Methode über einen zentralen Controller ein. Auf diese Weise lassen sich auch komplexere Konfigurationen verlässlich und schnell auf mehrere hundert Switches implementieren.
Cisco SDA (Software Defined Access) besteht aus mehreren Controllern. Ähnlich, wie man dies von etwa vom Multiprotocol Label Switching (MPLS) oder VPN kennt, kommen bei SDA Overlay-Netze zum Einsatz. So wird eine für den Campus-Bereich bestens geeignete agile Infrastruktur geschaffen.
Dadurch kann für das Netzwerk ein geroutetes, stabiles Underlay zur Verfügung gestellt werden. Layer-2-Protokolle wie Spanning Tree werden somit obsolet. Ändern sich die Anforderungen, erfolgen die Änderungen lediglich im Overlay. Die Basisstruktur des Netzwerks bleibt unberührt.
Die flexible und einfache Konfiguration bietet in der Integration von Endgeräten einige Vorteile. Durch den Einsatz von Authentifizierungs-Templates können Geräte an allen Netzwerk-Ports angeschlossen und die entsprechende Netzwerk-Konfiguration dynamisch alloziert werden. Konkret ergeben sich daraus folgende Vorteile:
- Sämtliche Netzwerk-Ports sind vor unberechtigtem Zugriff geschützt.
- Die Benutzer können einen Anschluss frei auswählen, die Konfiguration erfolgt anhand der ihnen zugewiesenen Berechtigungen.
- Durch eine zwingende Authentifizierung/Autorisierung steigt der Grad der Netzwerk-Visibilität erheblich.