Intelligentes Routing im SD-WAN

SD-WAN Teil 2:

Intelligentes Routing im SD-WAN (auch „Application Aware Routing“ genannt) verfolgt im Wesentlichen zwei Ziele:

• Effizientere Ausnutzung mehrerer Verbindungspfade
• Applikationsgetriebene Steuerung des Datenverkehrs

Ein hybrides WAN mit statischem Routing oder im Normalbetrieb ungenutzte Backup-Verbindungen steht den Anforderungen an kostengünstigen und flexiblen Betrieb von Weitverkehrsnetzwerken entgegen.

Welche technischen Voraussetzungen werden beim intelligenten Routing genutzt?

In den vergangenen Jahren kamen neben ausreichend leistungsfähiger Hardware einige Features auf den Markt, die ein intelligentes Routing auf Applikationsebene ermöglicht haben. Zu nennen sind hier

• PBR (Policy Based Routing, Richtlinien-basiertes Routing, wenn auch nur auf Layer 4)
• BFD (Bidirectional Forwarding Detection, zur Erkennung des Verbindungszustands)
• die von Firewalls bekannte Deep Packet Inspection (DPI) zur Applikationserkennung auf OSI Ebene 7
• IPSec, die weitverbreitete Protokollsuite zur Absicherung von Datenströmen (Tunneling) ist gemeinhin notwendig, um neben MPLS auch weniger vertrauenswürdige Verbindungspfade nutzen zu können

Welche Anforderungen müssen erfüllt werden?

Intelligentes Routing erfordert WAN-seitig die Erkennung des Status jeder Verbindung, und zwar nicht nur deren Verfügbarkeit (Link geht / geht nicht), sondern darüber hinaus auch die Erfassung von Qualitätsparametern wie Durchsatz, Latenz, Paketverlust, Jitter. Die Qualität eines Verbindungspfads wird dabei idealerweise in sehr kurzen Intervallen, nahezu in Echtzeit, analysiert.

LAN-seitig ist es erforderlich, die wesentlichen Applikationen im Datenstrom zu erkennen, um die verschiedenen Application Flows gemäß definierter Vorgaben zu behandeln.

Neben den bekannten Methoden 5-Tuple (source / destination IP, source / destination Port, Protokoll) und DiffServ (DSCP) zur Klassifizierung von IP-Paketen kann ein SD-WAN Device auch Applikationen selbsttätig auf OSI-Ebene 7 anhand von Mustern erkennen. Die automatisierte Erkennung erlaubt eine vereinfachte Anpassung neuer Applikationen an das bestehende WAN.

Richtlinien für intelligentes Routing im SD-WAN werden in der Steuerungsebene definiert:

Eine der grundlegenden Eigenschaften von SD-WAN ist die Trennung von Steuerungsebene und Datenübertragungsebene. Für die wesentlichen Applikationen im Netzwerk, seien es die mit besonders hohen Anforderungen an Latenz und Jitter (real time), oder an Bandbreite (E-Mail) oder an Verfügbarkeit (ERP-System), werden bei der Konfiguration des SD-WANs die passenden Richtlinien in der Steuerungsebene vordefiniert. Die Richtlinien werden innerhalb der Steuerungsebene von zentralen Steuer-Instanzen auf die lokalen SD-WAN Devices projiziert.

Komplexere Modelle erlauben auf der Steuerungsebene auch ein Service Chaining, so dass zentrale Netzwerkinstanzen wie z. B. Firewalls oder Load Balancer von mehreren SD-WAN Endpunkt-Devices genutzt werden können.

Ausdrücklich nicht zur Steuerungsebene zugehörig sind lokale Richtlinien, die auf SD-WAN Devices an den Endpunkten des SD-WANs liegen können und das OSPF- oder BGP-Routing des lokalen Netzwerks oder Internets beeinflussen.

Klassifizierung der Datenströme auf den lokalen SD-WAN Devices:

Anhand der Richtlinien aus der Steuerungsebene können nun die lokalen SD-WAN Devices die erkannten Application Flows zuordnen und klassifizieren. Die Verkehrsklassen ähneln im Prinzip den aus MPLS bekannten „Classes of Service“, nur, dass hier die Parameter freier konfiguriert werden dürfen und unabhängig vom darunterliegenden Netzwerk sind. Anders als bei MPLS CoS werden die Verkehrsklassen nicht über den ganzen Netzwerkpfad, sondern nur eingangs- und ausgangsseitig durchgesetzt. Manche SD-WAN Devices unterstützen aber auch MPLS CoS, wo Transport-Layer agnostische Devices (MPLS-Router) vorhanden sind.

Routingstrategien und Setup des Application Aware Routing im SD-WAN:

Für das Setup eines intelligenten Routings empfiehlt es sich, als “Best Practice” einen Workshop zu organisieren, um alle Applikationen mit deren Performance-Anforderungen zu diskutieren und entsprechende Applikationsklassen (meist bis zu 6 Klassen) zu definieren.

Auf der Steuerungsebene werden verschiedene Routingstrategien für die Applikationsklassen definiert. Das umfasst:

• den grundsätzlich bevorzugten Pfad
• Load Sharing über verschiedene Pfade
• Pfadumschaltung voll automatisiert aufgrund gemessener Qualitätsparameter oder nur bei Ausfall eines Pfades
• den Ausschluss bestimmter Pfade

Je nach Applikation können unterschiedliche Routingstrategien gleichzeitig im Netzwerk etabliert werden. Die Umschaltung eines Verbindungspfades erfolgt dabei je nach Hersteller und Konfiguration

• pro Applikations-Datenstrom (application based)
• pro Applikations-Datenstrom pro User (session based)
• pro Datenpaket (packet based)

Zu vermeiden sind hierbei asymmetrisches Routing und zu schnelles, ineffizientes Hin- und Herschalten von Routen (Flapping), weshalb auch ein „konservativeres“ Umschalten mit Holddown-Timern sinnvoll sein mag. Technisch möglich ist Routing und Rerouting in weniger als einer Sekunde und meist ohne Abbruch der Applikation beim IT-User.

Intelligentes Routing im SD-WAN bringt mehr Transparenz in den Betrieb:

Im Zusammenhang mit intelligentem Routing kommt in der Regel ein erweitertes Monitoring, mit detaillierten Netzwerkauslastungsstatistiken nahezu in Echtzeit, und mit Auflösung der Datenströme auf Applikationsebene. In einem Applikations-getriebenen Netzwerk ist auch Transparenz über die Verteilung von Applikations-Datenströmen von Vorteil. Klassische Verbindungs-SLAs wie Durchsatz, Latenz, Paketverlust und Jitter können auf Applikations-SLAs transformiert werden, was in proprietären Ansätzen bereits angeboten wird.

Vorteile des intelligenten Routings:

Intelligentes Routing im SD-WAN ermöglicht der IT-Organisation:

• die Aktivierung inaktiver Backup-Links
• den vereinfachten Rollout neuer Applikationen
• den Weg in ein Applikations-getriebenes Netzwerk

Fazit und was bleibt für die Zukunft noch zu verbessern?

Das intelligente Routing im SD-WAN verbessert die Effizienz klassischer, privater und Data Center zentrierter Netzwerke (private Clouds). Es bleiben aber Wünsche aktuell und für die Zukunft offen:

• Anbindung an public Clouds:
  Dem aktuellen Trend folgend wandern jedoch viele Applikationen in public Clouds. Die Ankopplung an public Clouds ist aber problematisch, weil dort eigene, lokale SD-WAN Devices nicht ohne Weiteres etabliert werden können. Der Wunsch nach intelligentem Routing zu public Clouds ist erkannt und erste Nischenanbieter arbeiten an virtualisierten Lösungen.
• Die IPSec-Problematik:
  Wegen der nach wie vor begrenzten Skalierbarkeit von IPSec-Verbindungen ist es in sehr großen Netzwerken teilweise notwendig, unerwünschte Hub-and-Spoke Topologien einzuziehen. Des Weiteren erhöht der obligatorische IPsec-Overhead den Datendurchsatz um bis zu 30 %, obwohl mehr und mehr Web-Applikationen bereits per SSL verschlüsselt werden. Wünschenswert für die Verschlüsselung wäre zukünftig eine besser skalierbare und granular arbeitende Alternative zu IPSec.

Auch Ihr Unternehmen möchte intelligentes Routing im SD-WAN einsetzen und von seinen Kostenvorteilen sowie seiner Flexibilität profitieren? Dann kontaktieren Sie uns. Wir beraten Sie neutral und unabhängig.