Deze week staat het Software-Defined Wide Area Network (SD-WAN) centraal tijdens de SD-WAN Summit 2018 in Parijs. Infradata is samen met SD-WAN-marktleiders en experts aanwezig om inzichten te delen en de huidige status van SD-WAN en om operationele uitdagingen te bespreken. In deze exclusieve blog deelt SD-WAN-expert Jan-Willem Keinke zijn verwachtingen en opvattingen over de kansen voor SD-WAN.
Introductie tot de voordelen van SD-WAN
SD-WAN is een vooruitstrevende manier om WAN-infrastructuren te bouwen die steeds meer grote en kleine ondernemingen toepassen. SD-WAN biedt op dit moment vele voordelen, waaronder:
- Het voorzien van wendbaarheid (agility) door Zero Touch Provisioning en configuratie-automatisering
- Geïntegreerd centraal beheer en performance monitoring
- Application aware routing, om de meest geschikte WAN-service te kiezen voor de applicatie
- Service chaining mogelijkheden, waardoor geavanceerde functies op een strategische manier in het netwerk geplaatst worden
- Vermindering van de totale kosten van WAN-links
- Onafhankelijk van Service Providers opereren
- Een hoge mate van flexibiliteit wanneer nieuwe sites en applicaties toegevoegd worden
- Uitbreiding van het bestaande Wide Area Network met cloud-based applicaties
- Het beveiligingsniveau van een vestiging zodanig optimaliseren, dat deze gelijk is aan het beveiligingsniveau in het datacenter
Ondanks het feit dat SD-WAN een volwassen oplossing biedt, is het potentieel van wat SD-WAN in de toekomst zal bieden nog vele malen groter. In deze blog ga ik in op de manier waarop SD-WAN naar verwachting zal evolueren om in de toekomst nog grotere voordelen te bieden ten opzichte van traditionele WANs.
1. Netwerk visibility verbeteren
Het begrijpen tot welke flow een applicatie behoort is van essentiële waarde voor SD-WAN. SD-WAN's sturen immers verkeer over het ene of andere pad gebaseerd op de 'behoeften' van individuele applicaties. Tegenwoordig is veel application recognition gebaseerd op Deep Packet Inspection (DPI) of het verkrijgen van inzicht in welke (public) IP-adressen gebruikt worden voor applicaties. Veel vendors hebben hiervoor hun eigen tracking service, of gebruiken die van een derde partij. DNS-snooping en inspectie van certificaatnamen voor encrypted sessies zijn twee veel voorkomende manieren om een applicatie aan een IP-adres toe te wijzen. Vanzelfsprekend werkt dit niet voor applicaties die intern gehost worden en werkt DPI niet voor encrypted applicaties. Ook houdt het geen rekening met het feit dat applicaties vaak van nature multimediaal van aard zijn, waarbij bepaalde delen statisch zijn en andere delen real-time. Skype for Business is een goed voorbeeld, waarbij Voice- en videostreams geleverd worden, evenals mogelijkheden om het scherm en/of bestanden te delen. Deze toegevoegde functies kunnen de VoIP-kwaliteit aantasten wanneer ze niet correct verwerkt worden door het netwerk.
Traffic profiling: DNS-snooping, certificaatinspectie en DPI
In toenemende mate zullen we application flows zien die zijn geclassificeerd op basis van communicatieprofielen. Bestandsoverdrachten worden herkend alszijnde grote blocks van omvangrijke packets die in één richting stromen, terwijl spraak (Voice) de kleine packets omvat die met consistente intervals in beide richtingen stromen. Traffic profiling wordt een belangrijke aanvulling die bestaande technieken zoals DNS-snooping, certificaatinspectie en DPI complementeert.
2. SD-WAN en verbeteren van de rapportage van toepassingsprestaties
Elke IT-helpdesk zal regelmatig deze oproep ontvangen: "Mijn applicatie is traag vandaag!". Het is vaak moeilijk om te bepalen of dit een geldige verklaring en oorzaak is. Normaliter bekijken IT-medewerkers in dit geval verschillende indicatoren om de mogelijke oorzaak te vinden. Wanneer er in dit geval geen voor de hand liggende oorzaak is, moet er verder onderzoek gedaan worden. Traffic encryption bemoeilijkt dit soort onderzoek en maakt netwerkgebaseerde monitoring ingewikkeld. Alleen via de endoints kan men inzicht krijgen in de applicatieprestaties. Het vinden van de oorzaak van deze slechte applicatie performance blijft daarentegen erg moeilijk. Door vooruitgang die geboekt wordt op het gebied van log processing en data-analyse, worden endpoint- en netwerkmonitoring samengevoegd tot één enkele oplossing voor het monitoren van prestaties en het oplossen van problemen. Een logische vervolgstap is dat deze informatie naar het SD-WAN-orkestratieplatform gestuurd wordt, zodat het geautomatiseerd aanpassingen aan het netwerk kan doorvoeren.
3. Nog betere paths vinden
SD-WAN oplossingen combineren meerdere WAN-underlay-services om een gevirtualiseerde WAN-service te creëren, meestal met behulp van MPLS en internet. Om flexibiliteit te maximaliseren en kosten te minimaliseren, kan een oplossing worden overwogen die uitsluitend gebruik maakt van internet links. Hoewel sommige SD-WAN-oplossingen packet loss en jitter kunnen compenseren, is er geen enkele SD-WAN oplossing die het daadwerkelijke af te leggen pad op het internet kan dicteren. Als je bijvoorbeeld een verbinding hebt tussen New York en Londen met behulp van Megapath en Verizon als ISP's gevestigd in New York, met Virgin en BT in Londen, is de kans groot dat beide SD-WAN-tunnels tussen deze twee steden dezelfde internet exchanges doorkruisen evenals dezelfde transatlantische kabel. Wanneer dat pad overbelast is, zal SD-WAN niet helpen omdat path selection beperkt is tot de directe paden die beschikbaar zijn tussen de nodes in New York en Londen.
SD-WAN en best path calculation
Op dit moment hebben de Orchestrators in SD-WAN-oplossingen alle informatie ter beschikking om een alternatief pad te vinden via een andere ndoe, bijvoorbeeld New York> Dublin> Londen.
De Orchestrator heeft een compleet overzicht van het gebruik en de kwaliteit van deze paden. Het is dan ook relatief eenvoudig om het beste pad te berekenen (en selecteren) op basis van diverse kwaliteitsmetrics. Dit is vergelijkbaar met die metrics voor de routeplanner van je auto bijvoorbeeld, waarbij gesloten wegen en files meegenomen worden in het selecteren van de snelste te volgen route op dat moment.
4. Meer dan enkel IP-adressen
Een Software-Defined Wide Area Network levert nieuwe routing application traffic mogelijkheden op. SD-WAN zal geleidelijk aan een beter zicht opleveren voor welke (SaaS-) applicaties op welke locatie gehost worden en welke server de optimale prestaties zal bieden voor de beschikbare paden. Traditionele technologieën zoals DNS load balancing en anycast IP-adressen zullen nog vele jaren in gebruik blijven. SD-WAN heeft de potentie om er aanvullend (en complementair) voor te zorgen dat een gebruiker altijd met de beste beschikbare applicatie-server verbindt.
5. Smarter QoS
De beschikbare bandbreedte op een internet VPN-verbinding is nooit gelijk aan die van de nominale snelheid. Meestal komt dit doordat de bandbreedte door de lokale ISP 'oversubscribed' zijn, of omdat de peering points tussen ISP's dat zijn. De meeste QoS-implementaties prioriteren traffic en vertragen het verkeer met lage prioriteit om ervoor te zorgen dat verkeer met hoge prioriteit doorkomt. Wanneer de output kleiner is dan de geconfigureerde (nominale) bandbreedte, hoeft deze regeling niet plaats te vinden. Link karakteristieken zoals delay variaties en packet loss moeten realtime overwogen worden om de daadwerkelijk beschikbare capaciteit te monitoren en om die overeenkomstig te prioriteren. Slimmere QoS-schema's zoals CAKE worden dan ook in toenemende mate toegepast.
6. Gebruikers- en entiteit-gebaseerde padselectie binnen SD-WAN
User en entity behaviour analyse wordt al de norm in netwerkbeveiliging. Netwerkbeveiliging wordt eveneens een SD-WAN functie. Een Voice-verbinding tussen een telefoon van een callcenter met een klant is bijvoorbeeld waardevoller dan andere typen oproepen die mogelijk op het netwerk aanwezig zijn. Het downloaden van een patch ter bescherming tegen een zero-day exploit is bijvoorbeeld belangrijker dan een reguliere software-update van Microsoft. Door kennis toe te voegen aan SD-WAN over de endpoint en de persoon die het gebruikt, maakt netwerkbeveiliging nóg intelligenter dan het op dit moment is.
SD-WAN: The way forward
Laat de toekomstige verbeteringen die hierboven beschreven zijn geen argument zijn om te twijfelen over de mogelijkheden die SD-WAN nu al biedt. SD-WAN biedt op dit moment al veel waarde en zal blijven evolueren op een manier die je bij traditionele routing eenvoudigweg niet zal zien plaatsvinden. Het beheren van de (routed) underlay-infrastructuur kan je het beste overlaten aan jouw Service Provider. SD-WAN gebruiken in plaats van routers is inmiddels al sterk vereenvoudigd. Het overwegen van SD-WAN-technologie voor je volgende WAN-refresh is dan ook een absolute must. Want vergis je niet, traditionele WAN's zullen al snel tot het verleden behoren.