Ein WAN, betrieben meist von einem Service-Provider, war lange eine befriedigende Connectivity-Lösung. Doch mit zunehmendem Datenverkehr, mehr Anwendungen in der Cloud und der dadurch bedingten Änderungen des Netzwerkverkehrs kommt es immer häufiger zu störenden Latenzen und unzureichender Netzwerk-Performance. SD-WAN (Software-Defined Wide Area Network) verspricht eine Lösung ohne explodierende Kosten.

Die vermehrte Nutzung einer oder mehrerer Internet-Leitungen zusätzlich zu den privaten IP-Netzen als weitere Verbindungsoption liegt angesichts niedriger Bandbreitenkosten nahe. Eine zusätzliche Verschlüsselung kann für mehr Sicherheit sorgen, tiefergehende Analysen bieten weitere Chancen zur Optimierung. Zudem bietet die Kombination mehrerer Verbindungstechniken von MPLS über 5G bis DSL ungeahnte Freiheiten. Dennoch: Ein paar Fragen bleiben für Unternehmen, die über SD-WAN nachdenken.

Ab wann lohnt SD-WAN?

Natürlich argumentieren die Anbieter mit niedrigeren Kosten – das „Capex vs. Opex“-Argument ist hinlänglich bekannt. Die Entkopplung der Hardware von den Services reduziert die Kosten und die Komplexität bei der Bereitstellung physischer Router erheblich. Virtuelle Appliances, Cloud-basierte Verwaltung und dynamische Pfadauswahl tragen also zu den Einsparungen bei. Hinzu kommt, dass im Allgemeinen die Kosten für Breitband-Internet um über 60 Prozent niedriger sind als jene für privates MPLS. Zu diesen Konditionen ist es möglich, die Bandbreite erheblich zu steigern und dennoch die Kosten für die Netzwerkverbindungen zu senken. Entkoppelt man den Transport-Layer von der Control Plane, ist es möglich, auf günstigere reine Transport-Layer-Technik auszuweichen und so die Kosten weiter zu senken. So lassen sich auch in jeder Niederlassung und an jedem Edge-Punkt Cloud-Dienste direkt nutzen, um bei gleicher Security ohne den Umweg über ein zentrales Gateway auszukommen – und damit eine bessere Anwendungs-Performance zu erhalten.

Schwerer zu kalkulieren ist die Vermeidung von Netzwerk-Ausfallzeiten. Rund 25 Prozent der Downtime rührt von fehlerhafter Konfiguration im Netzwerk. Zentralisiertes Management, Dashboards und Hybrid-WAN-Unterstützung ermöglichen es bei SD-WAN, diese Fehlerquellen zu reduzieren. Am meisten schlägt bei SD-WAN aber neben den Breitbandkosten wohl der effizientere Betrieb zu Buche: Workflow-Tools, Zero-Touch Provisioning und die Möglichkeit, die zentral verwalteten Policies überall sofort umzusetzen, sparen immens Zeit – Stunden, die sonst für die Identifizierung und Lösung der Netzwerkprobleme aufzuwenden wären, können jetzt in strategische Initiativen fließen. Doch die Effekte von SD-WAN sind auch über die IT-Abteilungen hinaus spürbar. Denn generell lässt es sich effizienter arbeiten, wenn Applikationen mit höherer Leistung zur Verfügung stehen und Engpässe verschwinden.

Sobald man sich für SD-WAN entschieden hat, stellt sich die Frage, wieviel davon man selbst umsetzen und was man outsourcen sollte. Hier spielen etliche Faktoren eine Rolle: die personelle Kapazität und Kompetenz im Haus, ebenso die langfristige Verfügbarkeit dieser Experten. Die langfristige Investition wird dabei häufig unterschätzt, denn selbst wenn die Geräte beschafft und das SD-WAN aufgebaut sind, ist es sehr aufwändig, das SD-WAN zu verwalten, zu überwachen und die Netzwerk-Performance zu analysieren. Gerade kleinere und mittelgroße Unternehmen sollten es sich gut überlegen, ob sie ihre Inhouse-Kapazitäten langfristig so binden wollen. Bei großen Unternehmen kann dies sogar noch mehr ausufern: Die Spezialisten müssen dann die weltweiten MPLS-Provider managen, sich mit Internet-Anbietern auseinandersetzen, die WAN-Optimierung vorantreiben sowie SD-WAN-Geräte an jedem Punkt konfigurieren und verwalten. Wo soll da noch Zeit bleiben, die digitale Transformation voranzutreiben?

Auch aus der Kostenperspektive ist das Outsourcen an einen MSP (Managed-Service-Provider) durchaus interessant. Einmal festgelegt sind SLAs besser kalkulierbar als hausintern erbrachte Services. Der MSP verfügt zudem über Tools für die Optimierung und Absicherung des Netzwerks und bietet hier im Schnitt einen höheren Standard. Er übernimmt auch die Bewertung der Technologien und Anbieter, nimmt das Equipment in Betrieb und erledigt das Ganze vermutlich schneller, als man es selbst könnte. Und er ist für sämtliche Hardware-Bestandteile aller Lieferanten und für alle Service-Provider verantwortlich – die Lösung der Probleme liegt in einer Hand. Ein weiterer Vorteil des „As a Service“-Ansatzes: Die „Middle Mile“ (also die Langstreckenverbindung über das WAN) läuft seltener über unbekannte Hops und lässt sich damit entsprechend besser kontrollieren.

Implementierungsschritte

Eine SD-WAN-Implementierung erfolgt normalerweise in klar voneinander unterscheidbaren Schritten. Logischerweise plant das Projektteam zunächst, wie und wo man Geräte platzieren will, welche System-IP-Adressen zum Einsatz kommen und welche Standorte es zu versorgen gilt. Ebenso essenziell ist eine klare Definition der Konfiguration der WAN-Edge-Geräte wie auch der Geräte in der Zentrale, der Policies und Code-Versionen. Ein weitere wichtige Frage: Welche Ports müssen für die WAN-Edge-Kommunikation offen sein? Um sicher zu gehen, dass keine Altlasten die Konfiguration stören, sollte man zwingend mit einem Pilot-Rollout starten. Hier vernetzt das Projektteam zuerst ausgewählte Standorte, verifiziert die Funktionalität aller Applikationen und passt die Konfiguration gegebenenfalls nochmals an. Vor der Konfiguration der WAN-Edge-Devices rüstet man die Rechenzentren entsprechend auf und setzt die Policies lokal und zentral um. Sobald die WAN-Edge-Router laufen, lassen sich die Verbindungen kontrollieren.

Das richtige SD-WAN

SD-WAN mit Netzwerkdiensten wie einer übergreifenden Transparenzlösung zu integrieren und mit WAN-Optimierung zu kombinieren. Nur so kann man die Leistung wirklich auf ein Optimum steigern. Um zu entscheiden, welche Datenpakete man über direkte lokale Internet-Breakouts, über die zentralen Breakouts oder aber über Cloud-basierte Security Broker leiten sollte, benötigt ein Unternehmen ein effizientes Management-Tool. Die Verbindung zwischen den Cloud-Netzwerken, aber auch zu den Niederlassungen muss automatisiert und sicher erfolgen. Nur dies stellt sicher, dass sich Mehrarbeit beim Aufsetzen der VPNs vermeiden lässt. Über eine automatische Pfadkontrolle lässt sich der richtige Pfad je nach Applikationsart, geschäftlicher Priorität und Qualität des Pfads wählen. Kriterien sind dabei Bandbreite, Latenz, Jitter oder Paketverlust.

Die End-to-End-Segmentierung des Netzwerks sollte in ein Zonenkonzept einfließen, sodass der Datenverkehr entweder auf Applikationsebene (Layer 7) segmentiert wird oder auf Basis der Nutzer mit Active Directory Sync. Zero-Touch-Provisioning wiederum ermöglicht es mit zentral gemangten Policies, die vormals aufwendigen manuellen und gerätebasieren Konfigurationen über die Cloud zu automatisieren und zu orchestrieren. Die Konfiguration und das Testing erfolgen vor dem Deployment, sodass CLI-Fehler und daraus resultierende App-Ausfälle nicht im Geschäftsalltag passieren. Des Weiteren muss das SD-WAN neben dem bestehenden WAN zum Einsatz kommen können. Vorhandene Router und andere Geräte sollten sich weiter nutzen lassen, damit das Unternehmen nicht bei der Umstellung auf SD-WAN sofort alle Geräte austauschen muss. Und schließlich muss sich das Policy-basierte SD-WAN-Management auf lokale LANs und WLANs erweitern lassen, um beispielsweise auch Gast-WLANs, BYOD (Bring Your Own Device) oder IoT (Internet of Things) abzudecken.

SD-WAN ist nichts, was man per Knopfdruck einführen kann. Wer – vielleicht aus Kostengründen – eine zu kleine SD-WAN-Lösung wählt, kann in ein Skalierbarkeitsproblem laufen, wenn das Unternehmen wächst und mehr Außenstellen anzubinden sind. Meist nutzt ein Unternehmen beide Netzwerke zumindest eine Zeitlang parallel – sie sollten also entsprechend kompatibel sein. Bei einem Outsourcing-Ansatz heißt das: Das Unternehmen sollte darauf achten, dass der Service-Provider mit möglichst vielen Netzwerkprotokollen von RIP bis OSPF Routine hat. Das setzt auch voraus, dass es im Hause Personal gibt, das selbst genug Know-how hat, um die Performance zu überwachen und die Security-Parameter zu prüfen.

Um die Compliance zu wahren, sollte man Policies aufsetzen, die die nationalen, internationalen und unternehmensweiten Ansprüche abdecken. Sicherheitsfunktionen aus der klassischen Netzwerkinfrastruktur müssen auch SD-WAN integrieren – von der Next-Gen Firewall bis hin zum rollenbasierten Berechtigungssystem. Um die Performance von Applikationen zu steigern, besteht die Möglichkeit, pro Standort eine Appliance oder eine VM aufzusetzen und Applikationen zu priorisieren. Es gibt aber auch die Option, über SD-WAN-Dienste das WAN zu optimieren und Anwendungs-Proxies für HTTPS, QoS, SSL, CIFS und SaaS-Beschleunigung bereitzustellen. Der Effekt: mehr Leistung für Cloud-basierte Anwendungen und datenintensive Sprach- oder Videodienste. Eine besondere Beachtung verdient die Applikationslandschaft: Oft sind noch Altanwendungen (Legacy-Applikationen) in Betrieb. Eine häufige Fehlerquelle bei der Implementierung von SD-WAN stellt die technisch bedingte Reduktion der MTU-Paketgröße (MTU: Maximum Transmission Unit) dar. Bedingt durch die Verwendung von Overlay-Tunneln sinkt die maximale Paketgröße auf etwa 1.400 Bytes. Eine gute Planung und eine Pilotierung sind also zwingend notwendig.

Jean Critcher ist als Head of Solution Consulting Europe bei Orange Business Services tätig,
www.orange-business.com.