Auf Ciscos großer EMEA-Anwenderkonferenz in Barcelona Ende Januar trafen sich an die 6.000 Netzwerkspezialisten aus ganz Europa. In den Vorträgen, Fluren und Gängen sowie in den Breakout-Sessions herrschte ein Thema vor: SD-WAN. Hauptsächlich diskutierten die Experten die Grundfunktionen und Vorteile der immer noch frischen Technik, am Rand ging es jedoch auch um das Hype-Thema schlechthin: künstliche Intelligenz.

Bis vor etwa zwei Jahren waren die Netze noch sehr reaktiv und ohne Intelligenz ausgelegt. Das Netzwerk schickte Daten über eine Leitung von A nach B. Solange der Verkehr nicht vollkommen gestört war, änderte sich daran nichts. Erst bei einem Ausfall lief der Verkehr über eine zweite Backup-Leitung, die man hinzugekauft hatte.

Auch das Umschalten war nicht besonders intelligent: Es kam zum so genannten Brown-out-Effekt. Die Verbindung bestand zwar noch, aber da die Latenzen zu hoch und die Paketverluste zahlreich waren, traten Störungen auf – ähnlich wie bei verrauschten TV-Bildern, wie man sie noch aus den 80er Jahren kennt. Traditionelle (MPLS-) Netze haben (mit vereinzelten Hello-Packets) nur geprüft, ob die Gegenstelle aktiv ist, und solange sie eine Antwort erhielten, gingen sie davon aus, dass die Netzqualität stimmte. Prüfungen und Messungen gab es weder für Latenzen noch für Paketintervalle. Seit softwaredefiniertes WAN als neues Paradigma auf den Plan getreten ist, ändert sich dies. SD-WAN testet die Verbindungen auf Qualität und ermöglicht es dem Anwender, den Datenverkehr priorisiert zu handhaben. Optional kann man mehrere Leitungen parallelschalten und die Bandbreite addieren. SD-WAN überprüft die Leitungen aktiv auf Paketverluste und das Einhalten der SLAs. Gibt es Probleme dabei, lässt sich der Verkehr umleiten. SD-WAN allein kann jedoch keine Voraussagen für zukünftigen Netzverkehr machen.

Durchgängige WAN-Optimierung im Visier

Ein weiterer Problembereich vieler Netzwerkadministratoren ist das Capacity-Management. Oft genug können sie zukünftige Kapazitätsengpässe nicht vorhersehen. Aktuell warten sie, bis Probleme wie etwa zu geringe Bandbreiten auftreten und bestellen erst dann neue Leitungen. Deren Lieferung dauert aber immer noch 90 bis 120 Tage. In dieser Zeit sinkt die Anwendungsleistung spürbar. Das Warten gleicht einer Geduldsprobe, die heutzutage niemand mehr bestehen möchte. In der Lage zu sein, einen künftigen Engpass vorauszusehen, ermöglicht die rechtzeitige Planung entsprechender Maßnahmen.

Parallel zum SD-WAN-Trend gibt es weitere Entwicklungen, die in diesem Umfeld eine Rolle spielen. So setzt sich immer mehr die Cloud-First-Strategie durch. Im Zuge dieser grundlegenden Veränderung migrieren Unternehmen Anwendungen vollständig in die Cloud und setzen zum Beispiel für ihre Microsoft- Office-Anwendungen auf das Software-as-a-Service-Modell. Im Rahmen einer Multi-Cloud-Strategie müssen mobile Benutzer von überall aus sicher auf Cloud-Anwendungen zugreifen können. Um unterschiedliche Clouds auf sichere Weise miteinander zu verbinden, bedarf es eines agilen Netzwerks. Grundvoraussetzung für diesen Schwenk in die Cloud ist, dass die Anwendungen genauso gut wie im klassischen Modell funktionieren.

Dafür bedarf es einer durchgängigen WAN-Optimierung. Sie reduziert die Latenz der Applikation. Durch Paket-Deduplizierung zwischen verschiedenen Clouds kann das Datenvolumen reduziert werden. Wichtig ist dafür auch die Ende-zu-Ende-Sichtbarkeit des Netzwerks, um Einblick in die Muster des Netzwerkverkehrs, aktuelle und zukünftige Bandbreitenanforderungen sowie die allgemeine Netzwerk- und Anwendungsleistung zu erhalten. Um eine konsistente und hohe Anwendungsqualität zu gewährleisten, sollte das SD-WAN auf Cloud-Umgebungen ausgedehnt sein.
SD-WAN-Anbieter wie Silver Peak und Cisco sind aktuell dabei, ihre Lösungen intelligenter zu machen, indem sie sie um maschinelles Lernen und KI ergänzen. Dieser Ansatz geht weit über die Automatisierung und die Verwendung von Vorlagen hinaus. So schaffen sie die Voraussetzung für ein „selbstfahrendes WAN“. Cisco und Silver Peak beschreiten damit den Weg der Kombination von SD-WAN und KI, der in den nächsten eineinhalb Jahren enorm an Dynamik gewinnen dürfte.

Was kann SD-WAN mit KI zusätzlich leisten?

Im SD-WAN konfigurieren die Betreiber ihre Geräte nicht mehr einzeln, sondern über einen Orchestrator, der die Gerätekonfiguration und Policies auf die einzelnen Endgeräte verteilt. Der Orchestrator ist die Instanz, die die Kontrolle im SD-WAN über die anderen Netzwerkgeräte hat. Derzeit verteilt er die Daten mit Hilfe von Vorlagen, die in ihn hineinprogrammiert sind. Die darin definierten Prozesse schickt diese zentrale Steuereinheit abhängig von der Situation im Netz an die Endgeräte. Von diesen kommen Informationen zurück zum Orchestrator, die dieser jedoch nicht weiterverwendet. Genau dort setzt die KI an. Sie kann alle Statistiken auswerten und langfristige Verhaltensmuster, Korrelationen und Anomalien im Netz erkennen, die einem Menschen nicht auffallen würden. Dies ist noch Theorie, aber Ciscos vAnalytics soll in Zukunft nicht nur die Netzwerk-Performance-Daten vom Orchestrator auslesen, sondern sie auch für die Orchestrierung nutzen.

KI: Weitblick für ein flexibleres und agileres Netzwerk

Die Folge wäre ein insgesamt agileres und flexibleres Netzwerk, weil der Netzverkehr so analysiert würde, dass vorausschauende Entscheidungen möglich sind. Mit dem dann verfügbaren Wissen über den Netzverkehr könnte die KI diesen proaktiv umleiten. Sie könnte beispielsweise gelernt haben, dass freitags um 20 Uhr ein Backup-Job zwischen zwei Lokationen läuft, der die vorhandene Bandbreite voll ausnutzt. Wenn um diese Uhrzeit noch eine Videokonferenz stattfinden soll, würde sie dafür eine andere Leitung nutzen. Wahlweise könnte auch der schon vorhandene Backup-Job auf eine andere Leitung geschwenkt und die für die Applikation verfügbare Bandbreite automatisch durch einen Policer temporär begrenzt werden.

Maschinelles Lernen und KI dienen des Weiteren dazu, neue oder spezifische Anwendungen besser zu identifizieren und zu erkennen, ob es sich um Sprach-, Video-, Echtzeit- oder transaktionale Anwendungen handelt. Das Netzwerk behandelt aktuell nicht identifizierte Anwendungen normalerweise als Standard. Bei Echtzeitverkehr kann dies zu Problemen wie WAN-Überlastung oder zu einem sogenannten Brownout führen. Da sich Echtzeitanwendungen jedoch ständig ändern und schnell neue hinzukommen, ist es nicht immer möglich, Anwendungen mit traditionellen Methoden zu identifizieren.

KI reagiert, bevor es zu Ausfällen kommt

Bei Deep-Packet-Inspection verarbeiten maschinelles Lernen und KI Informationen aus mehreren Datenquellen und lernen, einen bestimmten Datenstrom besser zu verstehen und sogar böswilligen Datenverkehr zu erkennen. Dabei schaut sich die KI die Datenpakete und Verbindungen an und beurteilt sie anhand einer Vielzahl von Parametern: Ist die Applikation „Mission critical“ oder verbraucht sie nur viel Bandbreite, ist aber schwächer priorisierbar? Die KI ermittelt automatisch den DSCP-Wert, der auf das Weiterleitungsverhalten von Datenpaketen aggressiver, bandbreitenhungriger Anwendungen während Überlastungszuständen verweist, und leitet Reaktionen ein, bevor es zu Ausfällen kommt. So verlegt sie den Datenverkehr automatisch in eine andere Warteschlange mit geringerer Bandbreite oder stellt sicher, dass geschäftskritische Anwendungen über die erforderliche Bandbreite verfügen.

Silver Peak geht wie Cisco davon aus, dass KI zukünftig sehr wichtig sein wird, um die Steuerung im Netz zu automatisieren und den Traffic umzulenken, bevor ein Problem auftritt. Der Anbieter setzt bereits KI bei Deep-Packet-Inspection ein, auch Cisco plant, Deep-Packet-Inspection weiter auszubauen. Der Nutzen daraus ist hoch, da es nun möglich ist, zwischen wichtigen und unwichtigen Daten zu unterscheiden. Welche Daten benötigen tatsächlich teure MPLS-Leitungen, welche lassen sich über das Internet versenden? Man kann – wie Cisco – noch einen Schritt weitergehen und die Deep-Packet-Inspection mit einer Firewall einschließlich IDS/IPS kombinieren und in die SD-WAN-Software integrieren. Die Absicht dabei ist, Malware oder Applikationen mit seltsamem Verhalten zu identifizieren und am Edge auf den SD-WAN-Appliances zu blockieren.

Vorausschauendes SD-WAN und Capacity-Management

Ein Predictive SD-WAN kann die QoS-Einstellungen neu konfigurieren und die Bandbreite für eine vorhandene Best-Effort-Anwendung reduzieren, um die erforderlichen Netzwerkressourcen für eine prioritäre geschäftskritische Anwendung bereitzustellen. KI wird in der Lage sein, besser vorherzusagen, welchen Einfluss ein zusätzlicher anwendungsbezogener Echtzeit-Datenverkehr im Netzwerk haben wird. Damit wird die KI die Bandbreite für Echtzeitvideos blockieren oder herabsetzen, um sicherzustellen, dass Audioanwendungen auf jeden Fall über ausreichend Bandbreite verfügen.

Capacity-Management soll zukünftig bereits drei Monate im Voraus erkennen, dass die aktuelle Bandbreite nicht mehr ausreichen wird und entsprechend erweitert werden muss. Die Vorteile liegen auf der Hand: Machine Learning und KI unterstützen den Netzwerk-Verantwortlichen dabei, endlich proaktiv tätig zu werden, statt mehrere Wochen auf die Bereitstellung zusätzlicher Bandbreite zu warten Dieses vorausschauende Capacity-Management ist jetzt schon bei Cisco vAnalytics verfügbar und soll in Zukunft auch im Angebot anderer SD-WAN Hersteller enthalten sein.

Hybrid WAN und KI

SD-WAN verbindet bereits jetzt diverse Cloud-Plattformen dynamisch miteinander. Mit KI lassen sich proaktiv Bandbreiten zuschalten und erhöhen oder nachts herunterfahren. In Spitzenzeiten schaltet SD-WAN proaktiv weitere Gateways hinzu und nimmt sie später wieder vom Netz, damit die Nutzer jederzeit die bestmögliche Verbindung haben. Gleichzeitig richten sich die Kosten nach der tatsächlichen Inanspruchnahme der Kapazitäten.

Die Idee bei hybriden Weitverkehrsnetzen (Hybrid WAN) ist es, ähnlich wie bei der Hybrid Cloud auf Grundlage der Anforderungen zu entscheiden, ob der Anwender einen Teil seines Traffics nicht über MPLS-Netze, sondern kostengünstig über das öffentliche Internet leitet. Anforderungen können etwa SLAs mit garantierten Verfügbarkeiten und Latenzwerten zwischen Europa und Asien sein. Während die Latenz innerhalb Europas durchaus genügen kann, funktionieren geschäftskritische Anwendungen nur auf Basis eines privaten Netzes.

Der Vorteil von SD-WAN besteht darin, dass das Netz die Anforderungen beispielsweise in Bezug auf „Voice“ erfährt und daraufhin die beste Leitung ermittelt. In diesem Fall wäre dies möglicherweise die Internet-Verbindung, wenn zu dem Zeitpunkt die MPLS-Leitung die vorgeschriebenen SLA-Werte beispielsweise wegen erhöhten Paketverlusten nicht einhalten kann. Bei den meisten Firmen geht jetzt schon die Hälfte des Netzwerkverkehrs ins Internet. Dieser Verkehr kann direkt über das Internet geleitet werden – entweder über das Local-Breakout-Konzept oder über eine Firewall. Beim Local Breakout sendet das System vertrauenswürdige Anwendungen wie Office 365 direkt zum hostenden Anbieter. Da es bereits mehr als 10.000 SaaS-Anwendungen gibt und deren Anzahl täglich zunimmt, helfen KI und maschinelles Lernen dabei, Anwendungen zu identifizieren, die für das sichere Internet Breakout geeignet sind. Dabei fragen sie unter anderem nach der Relevanz der Anwendungen, ob diese eine Bedrohung für das Geschäft darstellen oder ob die SaaS-Anwendung in eine Whitelist aufgenommen ist.

Das von NTT Com bereitgestellte SD-WAN umfasst beispielsweise zonenbasierende Firewalls, die es ermöglichen, das Netzwerk zu segmentieren. Darüber hinaus können Sicherheitsereignisse an das von NTT Com betriebene KI-basierte Security-Operations-Center (AI-SOC) gehen, um über das Management der Log-Dateien sowie der Verhaltensanalyse eventuelle Angriffe abzuwehren. In Zukunft kann das AI-SOC zusammen mit REST APIs direkt auf den SD-WAN-Orchestrator zugreifen, um in Echtzeit die Firewall-Einstellungen zu ändern und einen Angriff oder die Weiterverbreitung von Malware zu vermeiden.

Das NTT Global-Operations-Center nutzt maschinelles Lernen auch jetzt schon, um in der Flut von Log-Daten und Netzwerkereignissen die kritischen Ereignisse herauszufiltern und dann schneller agieren zu können. Auch im täglichen Betrieb besteht zukünftig eine große Chance, durch KI die Ausfallzeiten von Leitungen und Netzwerkgeräten weiter zu minimieren und generell noch proaktiver agieren zu können. Manche Störungen und Ausfälle lassen sich bereits jetzt im Voraus vermeiden. KI wird die Qualität der Vorhersage noch verbessern.

Mathias Zimmermann ist Senior Manager Solution Architecture, Network Services bei NTT Europe Germany, www.eu.ntt.com.