Serie Software-Defined Networking, Teil 2
Die große SDN-Schlacht
Software-Defined Networking (SDN) hat sich vom akademischen Diskussionsstoff zum Modethema in der Netzwerkbranche gemausert (siehe Teil 1 dieser Serie in LANline 5/2015). Um die Gunst der IT-Verantwortlichen buhlen deshalb derzeit neben Marktschwergewicht Cisco zahlreiche weitere Netzwerkausrüster wie HP, Brocade oder Extreme, aber auch Virtualisierungsgröße VMware.
Heute kommen immer mehr SDN-Produkte auf den Markt. Um sie besser einordnen zu können, ist zunächst ein wenig historischer Kontext nötig: Als VMware auf seiner Hausmesse VMworld 2013 die Netzwerk-Virtualisierungslösung NSX vorstellte, legte sich der Marktführer im Bereich Server-Virtualisierung geradezu zwangsläufig mit Cisco an, dem ebenso klaren Switching-Marktführer - und langjährigen Partner im Rahmens des Herstellerverbunds VCE mit der VMware-Mutter EMC. Denn NSX soll zusammen mit VMwares Server-Virtualisierungsplattform Vsphere und der Storage-Virtualisierungstechnik VSAN ein komplett softwaregesteuertes RZ (Software-Defined Datacenter, SDDC) ermöglichen. Die Basis für die Overlay-Technik NSX lieferte neben hauseigenen Entwicklungen die 2012 zugekaufte Software von Nicira.
Analog zur Server-Virtualisierung, so das Konzept von VMware, soll ein SDDC die Logik RZ-weit von der Hardware entkoppeln, die Ressourcen dank dynamischer Nutzung besser auslasten - und die Hardware so beliebig austauschbar machen, wie es auf der Server-Seite längst üblich ist. Softwareseitig hingegen könnte ein solches SDDC dann komplett mit VMware-Angeboten laufen. VMware verspricht mit NSX eine beschleunigte Netzwerkprovisionierung, leichteren Betrieb durch mehr Automation sowie die einfache Verschiebung virtualisierter Workloads unabhängig von der Topologie, der verwendeten Virtualisierungsplattform und der Cloud-Management-Lösung.
Für Overlays nutzt VMware die gemeinsam mit Cisco und Arista entwickelte Kapselung mittels VXLAN. Da NSX als Overlay zu einem bestehenden Netzwerk agiert, lässt es sich laut VMware störungsfrei einführen, allerdings werden VXLAN Skalierungsprobleme nachgesagt. NSX bildet auch die Basis für VMwares Vcloud-Air-Services, die neuerdings in Deutschland verfügbar sind.
Im Rahmen von VCE liefert VMware gemeinsam mit Cisco und EMC bereits seit Jahren Komplettangebote für das virtualisierte RZ "out of the Box". Doch die mit NSX implizierte generelle Austauschbarkeit der Netzwerkgeräte konnte einem Switch-Hersteller natürlich nicht gefallen: Marktkenner wussten zu berichten, dass man bei Cisco über NSX "not amused" war.
Cisco - ab Juli unter der neuen Führung von Chuck Robbins - geht in Sachen SDN bekanntlich eigene Wege und setzt auf die im Mai 2013 vorgestellte Application-Centric Infrastructure (ACI), die Technik der Cisco-Tochter Insieme nutzt. Anders als VMware nimmt der Netzwerker kein komplett virtualisiertes Rechenzentrum an; vielmehr wird es laut Cisco auch künftig virtualisierte neben physischen Ressouren geben, die alle mit Netzwerk-Services versorgt sein wollen. Entsprechend ist die ACI-Architektur deutlich umfassender als NSX, da sie beide Welten abdecken muss.
ACI vs. NSX
Anstelle einer Openflow-basierten Datenflusskontrolle, wie sie das SDN-Szenario der Open Networking Foundation (ONF) vorsieht, baut Cisco auf ein richtlinienbasiertes, applikationsbezogenes Management. Kernbaustein ist eine Policy-Engine namens Application Policy Infrastructure Controller (APIC), die eng mit den Nexus 9000 Switches sowie den hauseigenen Virtual Switches zusammenspielt. Doch Cisco betont, APIC unterstütze sowohl in Richtung des Netzwerks (Southbound) wie auch in Richtung der Applikationen (Northbound) alle marktüblichen Standards: Southbound ist dies vor allem Openflow, aber auch Support für das von Nicira entwickelte OVSDB (Open Vswitch Database Management Protocol) ist an Bord. Northbound geht es um Openstack (genauer: dessen Neutron-API) sowie generell um RESTful APIs (XML/JSON).
Zur Standardunterstützung gesellen sich Erweiterungen zum Steuern der Cisco-Geräte. Dabei setzt der Konzern statt auf Openflow auf das hauseigene Protokoll Opflex, um über die Southbound-Schnittstelle die eigenen Netzwerkgeräte anzusprechen. Statt die gesamte Logik im SDN-Controller zu bündeln, beschränkt sich Opflex auf die erwähnte Übermittlung von Policies. Dies soll vermeiden, dass der SDN-Controller zum Flaschenhals für den Netzwerkverkehr wird. APIC kommuniziert laufend mit den Cisco-Switches und erhält so Metadaten zu den Geräten, um das Netzwerk effizient und automatisiert steuern zu können. Der Netzwerkgigant verweist zudem auf Opflex-Support durch Partner von Citrix über Microsoft bis zu Red Hat und F5.
Das ergänzende APIC Enterprise Module (EM) soll die ACI-Funktionalität vom Datacenter in den Access-Bereich und bis ins WAN ausdehnen. APIC EM, so Falko Binder, Enterprise Networking Architecture Lead Germany bei Cisco, kommuniziert über RESTful APIs, um für die Umsetzung der in APIC definierten Policies zu sorgen. Der Controller wisse, welcher Switch Ciscos One PK oder andere moderne SDN-Schnittstellen (noch) nicht unterstützt, und könne entsprechend agieren. Das Ziel von APIC EM ist es, Abläufe wie die Provisionierung von Sicherheitseinstellungen und Access-Control-Listen zu automatisieren, aber auch das QoS-Management und die Pfadwahl im WAN zu vereinfachen.
Inzwischen hat Cisco die Intrusion-Prevention-Systeme der Marke Firepower, 2013 mit dem Security-Spezialisten Sourcefire übernommen, in ACI integriert. Dies soll die Nutzung der Firepower-Funktionalität für den automatisierten Netzwerkbetrieb erleichtern. Zum ACI-Partner-Ökosystem zählen aber auch Sicherheitsanbieter wie Check Point, Fortinet oder Symantec. Per Akquisition des Anbieters Embrane hat Cisco ACI jüngst um Layer-4/7-Funktionalität erweitert.
Neben Cisco haben auch die übrigen Netzwerkausrüster längst ihre SDN-Strategien entwickelt und begonnen, entsprechende Produkte auf den Markt zu bringen. Die Vorgehensweisen finden sich in drei Varianten: erstens Nutzung von Openflow für ein offenes SDN, zweitens Unterstützung von APIs und Overlay-Netzwerken à la NSX (mittels VXLAN oder GRE), und drittens programmatische Einbindung mit Support für Perl- oder Python-Scripting seitens der Switch-Firmware.
HP ist im Datacenter-Networking-Markt laut Gartners Magic Quadrant 2014 Ciscos schärfster Konkurrent vor Juniper, Arista und Brocade sowie - wenn auch deutlich abgeschlagen in puncto Umsetzungskraft - VMware. Herausforderer HP betont seinen umfassenden Ansatz ebenso wie die konsequente Umsetzung von Offenheit und Standardkonformität: "Hier wird es eine große Vielfalt geben. Diese gilt es zu unterstützen", so Axel Simon, Chief Technologist bei HP Networking Deutschland, zu LANline. HPs Converged Network umfasst softwaredefinierte Server, Storage und Networking, dem umfassenden Management inklusive Provisionierung und Monitoring dient das Tool Oneview. Auf höheren Schichten in HPs Architektur sorgt die Lösung CSA für Orchestrierung, Service-Management und ein Portal-Interface.
Offenheit, Brite-Box-Switches und ein SDN App Store
Wie alle Switch-Hersteller, so legt auch HP Wert darauf, die physische und die virtuelle Welt per SDN zu verbinden. Für virtualisierte Umgebungen bietet HP seine Virtual Switch Infrastructure, die mit VMwares NSX und Vcenter, mit den hauseigenen Angeboten VCN und DCN sowie mit Openstack kompatibel ist. Auch HPs Hybrid-Cloud-Angebote aus der Helion-Familie basieren auf einer Kombination von Overlay-SDN und Openstack. Für physische Umgebungen offeriert HP ergänzend einen Underlay-Ansatz mit seiner Flexfabric-Infrastruktur. Diese kommuniziert mit HPs VAN SDN Controller, der Openflow ebenso unterstützt wie Scripting und das gute alte SNMP. Northbound interagiert der Controller sowohl mit der HP-eigenen Converged Control App wie auch mit SDN-Anwendungen von Drittanbietern.
HPs SDN-Ansatz weist zwei interessante Besonderheiten auf: Erstens denkt HP sehr Community-orientiert und hat deshalb einen SDN App Store aufgesetzt, in dem externe Entwickler ihre SDN-Anwendungen veröffentlichen können. HP hilft auf Wunsch bei der Entwicklung und Vermarktung der Apps. Zweitens nimmt HP die im SDN-Gedanken implizierte Offenheit ernst und hat sogenannte "Brite Box"-Switches vorgestellt.
Das Kunstwort ist erklärungsbedürftig: Große Cloud-Provider wie Facebook und Google (siehe Teil 1 dieser Serie) nutzen SDN, um sich von Hardwarelieferanten unabhängiger zu machen; sie verwenden selbstentwickelte Netzwerklösungen und betreiben diese teils auf generischer No-Name-Hardware (sogenannten "White Box"-Switches). Dieses Vorgehen ist aber, dessen ist sich HP bewusst, für das Gros der Service-Provider und Unternehmen zu aufwändig, weshalb der Konzern es um "Branded White Box Switches" - kurz eben "Brite Box Switches" - ergänzt.
Die Geräte basieren auf Partnerschaften mit Accton sowie Cumulus Networks: Der taiwanische Hersteller Accton produziert die Geräte, auf denen Cumulus Linux läuft, HP sorgt für Beratung und globalen Support. Weitere SDN-Betriebssysteme sollen laut HP-Mann Axel Simon folgen. HP hat zunächst zwei Modelle der neuen Switch-Serie für Spine/Leaf-Architekturen vorgestellt: 10GbE/40GbE-Spine-Switches und 10GbE-Leaf-Switches. Das OS werde per Automatismus geladen und installiert. Im Lauf des Jahres will HP die Produktlinie nach oben um Geräte für 25, 50 und 100GbE sowie nach unten um 1GbE-Port-Optionen erweitern. Auf der Interop in Las Vegas hat der Konzern die Netzwerklösung Campus vorgestellt, bestehend aus der Openflow-kompatiblen Switch-Serie 5400R zl2 und der Anwendung Network Visualizer SDN für Policy-Provisionierung und Echtzeit-Datenflusskontrolle. Damit will HP die Unternehmensnetze für die Anforderungen einer flächendeckenden Verbreitung von Smartphones, Wearables und Breitband-WLAN rüsten.
Eigenes OS auf Fremdhardware
Auf den Weg zu mehr herstellerübergreifender Offenheit hat sich auch Juniper begeben, obschon auf andere Weise als HP: Mit dem OCX1100 stellte Juniper einen Switch vor, der Hardware von Alpha Networks auf der Basis der OCP-Architektur (Open Compute Project) mit dem hauseigenen Junos OS verbindet. Damit öffnet sich der Hersteller, der lange Zeit die Performance-Vorteile seiner proprietären Hardware/Softwarekombination betonte, für den SDN-Trend. Juniper zielt dabei laut eigenen Angaben auf große Cloud-Service-Provider, die offene, kostengünstige und anpassbare Switches benötigen.
Der OCX1100 läuft laut Juniper auf einer Linux-basierten Version von Junos, diese liefere auch die Basis für Layer-3-Aufgaben. Die Software umfasse offene, standardbasierte APIs, unterstütze ein Scripting mittels Python sowie die Orchestrierungswerkzeuge Puppet und Chef, zudem gebe es ein Junos SDK (Software Development Kit). Das Open Network Install Environment (ONIE) ermögliche die Aufteilung der Plattform in verschiedene Betriebssysteme, sodass eine IT-Organisation nicht mehr auf einen einzigen Switch-Anbieter festgelegt sei.
Ethernet Fabric sowie SDN im Campus-LAN
Als Hersteller mit Hintergrund im Storage-Markt war Brocade schon früh ein Verfechter von Fabric-Architekturen im Datacenter: Mit der VCS Fabric ist Brocade offenbar recht erfolgreich darin, herkömmliche hierarchische Ethernet-Netzwerke durch Cloud-gerechte Spine/Leaf-Architekturen zu ersetzen. VCS, so Brocade, sorge dabei für Mandantenfähigkeit, hochgradige Automation, effizientes Multipathing auf Layer 2/3 sowie umfassende SDN-Unterstützung. Zum Einsatz kommen hier die Switch-Familien VDX 6740, 6940 und 8770 im Zusammenspiel mit Brocades Virtual Router Vyatta.
Dies ergänzte Brocade vor Kurzem um einen eigenen SDN-Controller namens Vyatta Controller. Mit einer kostenlosen Controller-Jahreslizenz will Brocade Unternehmen den Weg zu offenen SDN-Umgebungen ebnen, kann man damit doch SDN-Anwendungsfälle testen, ohne zuvor Hardware beschaffen und integrieren zu müssen. Die Testlizenz ist auf bis zu fünf physische oder virtuelle Netzwerkknoten limitiert und umfasst 60 Tage 24/7-Zugang zum Support durch den Hersteller.
Des Weiteren ist Brocade auch einer der Vorreiter im Bemühen, SDN vom Datacenter ins Campus LAN zu tragen. Dazu stellte der Anbieter kürzlich den ICX 7250 Switch und einen Hyperedge Switch Port Extender vor. Laut Datenblatt skaliert ein virtuelles Chassis aus zwölf ICX-7250-Geräten auf bis zu 96 10GbE-Ports oder 576 GbE-Ports. Der Extender erlaubt es den ICX-7250- und ICX-7450-Switches, die Funktionen eines ICX 7750 zu übernehmen und so dessen Funktionalität in die Fläche zu tragen. Alle ICX-Geräte unterstützen Openflow 1.3.
Vereinfachter Netzwerkbetrieb
Extreme Networks wiederum ermöglicht es nun per Netzwerk-Management-Lösung Netsight, Richtlinien auf der Basis von Opendaylight-GBPs (Group-Based Policies) von einer zentralen Applikation aus im gesamten Netzwerk auszubringen. Dies soll es großen Unternehmen und Service-Providern erleichern, SDN in heterogenen Bestandsnetzen zu implementieren. Außerdem gibt es nun auch bei Extreme - wie bei HP - einen SDN Applications Store. Ergänzt wird dieser durch ein SDN Developer Portal, das externen Entwicklern die nötigen Informationen für die Entwicklung und das Management ihrer Applikationen im App Store liefern soll.
Arista hat mit EOS+ die Weiterentwicklung seines Betriebssystems EOS (Extensible Operating System) vorgestellt. Die Software des SDN-Spezialisten dient als Basis für automatisierte programmierbare Netzwerke. Partner wie Ansible, Puppet oder Splunk sollen damit für bessere Anpassbarkeit, schnellere Updates und niedrigere Betriebskosten sorgen können. EOS ist nun im Cloud-freundlichen Abonnement erhältlich.
Alcatel-Lucent Enterprise (ALE) zielt mit seiner Intelligent-Fabric-Technik darauf ab, den Netzwerkbetrieb zu vereinfachen und flexibler zu gestalten. Die Technik ist laut ALE für die Switch-Familien Omniswitch 6900 und Omniswitch 10K verfügbar, der Omniswitch 6860 Access Switch soll dieses Jahr noch folgen. Damit biete man dann einen agilen Netzwerkbetrieb vom Edge über den Core bis zum RZ. Zu den wichtigsten Aspekten der Intelligent-Fabric-Technik gehören laut ALE Funktionen für die automatische Konfiguration der Switches und Netzwerkverbindungen sowie Selbstheilungsfunktionen wie die automatische Neukonfiguration bei Störungen.
Avaya schließlich hat jüngst seine SDN-Fx-Architektur um die neue Switch-Serie ERS 5900 erweitert und will so ebenfalls eine Automatisierung des Netzwerks vom Core bis zum Edge ermöglichen. Die stapelbaren Switches der ERS-5900-Serie sind laut Avaya für das hauseigene Fabric Connect optimiert.
Fazit: Wandel zum SDN läuft
Insgesamt lässt sich feststellen: Die Switch-Anbieter haben SDN in ihre Portfolios aufgenommen und sich mit Schwung auf die Vermarktung gestürzt. Teil 3 dieser SDN-Serie wird sich mit den SDN-Startups sowie mit Service-Provider-Themen wie NFV (Network Functions Virtualization) befassen.
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
