De volgende stap in IT netwerkontwikkeling is SD-WAN, wat flexibiliteit geeft, betere veiligheid en het eenvoudig maakt om nieuwe diensten te lanceren. Waar komt SD-WAN vandaan en is het echt het tovermiddel wat beloofd wordt? In dit artikel kijken we naar de oorsprong en de toekomst.
Het begon bij SDN
Software Defined Networking (SDN) is sinds 2012 een bekende term in ICT netwerken. Omdat onze datanetwerken steeds groter en complexer werden, met al snel tientallen switches en routers in een middelgroot netwerk, ging men op zoek naar een slimmere manier van organiseren. Het idee daarbij was om het netwerk op te delen in een controle- en een datalaag. Dit was in mobiele netwerken met de komst van 3G sinds 2000 al gebruikelijk, omdat dit grotere flexibiliteit geeft.
Bij SDN worden grotere groepen switches en routers centraal aangestuurd. De verschillende devices zijn daardoor in principe niet meer zelfstandig programmeerbaar. Dit heeft grote voordelen voor beheer: wijzigingen kunnen snel worden doorgevoerd, zonder dat beheerders elke switch apart hoeven aan te passen. SDN wordt dan ook heel veel toegepast in datacenters. Het maakt het besturen van datastromen binnen een bedrijf makkelijker. Doordat we meer thuiswerken en veel gebruik maken van cloudservices zijn er nogal wat veranderingen in het IT verkeer van een organisatie. Als bepaalde soorten verkeer anders moeten worden afgehandeld, is dat redelijk eenvoudig in te regelen. Bijvoorbeeld voor videostreams is dat belangrijk.
Software Defined Radio’s
Software Defined als term heeft ook iets moderns en aansprekend: nieuwe dingen klinken meestal interessant. Software Defined Radio’s worden sinds de komst van 4G volop toegepast: de functie van de zender wordt niet meer bepaald door hoe het in de fabriek is gebouwd, maar door de software configuratie. Moderne zenders in mobiele netwerken kunnen 2G, 3G, 4G of zelfs 5G signalen uitzenden. Dat geeft mobiele operators veel flexibiliteit, vooral nu men steeds vaker 2G en 3G vervangt door 4G en 5G. Dat zou vroeger alleen tegen hoge ombouwkosten mogelijk zijn.
Software Defined Wide Area Network
Een relatief nieuwe Software Defined is SD-WAN (Wide Area Network), waarbij men de SDN principes op een verspreid en groter netwerk gaat toepassen. Niet alleen binnen een vestiging, maar over een netwerk met veel locaties en zelfs internationaal. In het verleden werden vestigingen van organisaties vooral met dure private verbindingen onderling verbonden, zoals MPLS. Voor veel telecombedrijven is dit nog steeds een belangrijke inkomstenbron in de zakelijke markt. Eigen `dedicated’ glasvezelverbindingen kosten meestal honderden tot duizenden euro’s per maand. Veel bedrijven onderzoeken of dit goedkoper kan door gebruik te maken van bestaande internetverbindingen in plaats van private verbindingen.
Nieuwe IT Clouddiensten configureren
Een uitdaging van bestaande IT binnen organisaties, is de complexiteit van de configuratie van een nieuwe dienst, vooral als deze deels op cloudservices is gebaseerd. Er zijn bedrijven waar de discussie met architecten, security specialisten en vervolgens de configuratie en implementatie meerdere jaren in beslag kan nemen. In een kleine organisatie is dit misschien niet voor te stellen, maar bij grotere organisaties is dit vaak de manier waarop projecten tot stand komen. Ik heb zelf de frustrerende ervaring dat ik een ethernetkabeltje (met een kostprijs van € 3) moest realiseren voor een testsysteem, voor aansluiting op het bedrijfsnetwerk. Na vele discussies, reviews, goedkeuringsprocessen en vervolgens nieuwe processen en security vragen, designs en approvals, kostte dit kabeltje ongeveer € 75.000 en driekwart jaar doorlooptijd. De doorlooptijd bij de implementatie van een nieuwe clouddienst, met firewall configuraties, architectuur discussies, goedkeuringen, leveringsprocessen, netwerkaanpassingen en alles wat daar nog meer bij komt, kunnen zomaar enkele jaren duren.
Een voorbeeld van een andere organisatie: een collega moest voor een project een virtuele server in het datacenter regelen. Voor een ervaren IT-er is dit ongeveer 15 minuten werk. Op mijn eigen laptop is dit ook wel eens gelukt, meestal volstaan een aantal muisklikken om dit te realiseren. Microsoft biedt bijvoorbeeld Hyper-V en Oracle VirtualBox schijnt ook goed te werken, zeker voor wat experimenteren. Omdat deze machines ook met de buitenwereld moeten communiceren, wordt er overigens ook een stukje Software Defined Networking gedaan op je eigen laptop. Je krijgt namelijk een paar virtuele netwerkpoorten en een virtuele router toegevoegd, zodat de virtuele server via de fysieke netwerkpoort naar buiten kan communiceren. Een virtuele server realiseren is dus niet heel ingewikkeld, maar mijn collega heeft meer dan 12(!) maanden nodig gehad om dit realiseren. Organisatieprocessen, security discussies, outsourcing van beheer en onduidelijkheden werkten dit allemaal in de hand. De uiteindelijke configuratie was minder dan één uur werk. Ik hoop dat het bij uw organisatie wat beter is gesteld, maar veel grote organisaties hebben dit soort IT uitdagingen.
Voorbeeld SD-WAN
Het grote idee achter SD-WAN, is dat alle architectuur en security policies de bron vormen. In het centrale beheerscherm, kunnen nieuwe diensten eenvoudig geconfigureerd worden. Een Amazon Web Service in combinatie met een Oracle database, gekoppeld aan een server in het eigen datacenter, via verschillende firewalls, met reservering van voldoende databandbreedte op de verschillende bestaande MPLS, glasvezel en IP verbindingen, kan met een paar muisklikken worden geconfigureerd.
Het SD-WAN systeem configureert automatisch alle benodigde nodes en systemen. Omdat alle bedrijfsregels en afspraken van te voren zijn geladen, voldoet de realisatie van een nieuwe dienst automatisch aan alle veiligheidsregels en de IT architectuur regels. Iets wat normaal dus gauw maanden duurt en waar heel veel meetings en reviews voor nodig zijn, wordt door het SD-WAN systeem binnen het uur gerealiseerd. Voor grote organisaties lijkt SD-WAN daarmee veel voordelen te bieden.
SD-WAN karakteristieken
Gartner heeft een aantal jaar geleden al een definitie opgesteld voor SD-WAN. Volgens hen heeft een SD-WAN de volgende vier karakteristieken:
- Het kan omgaan met verschillende soorten verbindingen in het WAN, zoals MPLS, glasvezel, 4G (of 5G) verbindingen en andere private verbindingen
- Het kan dynamische paden gebruiken, om het verkeer zo goed mogelijk te verdelen en de robuustheid te verhogen
- Het heeft een eenvoudige interface waarmee configuratie en beheer eenvoudig is
- Het kan VPNs, firewalls en netwerksystemen configureren
Het is de verwachting dat SD-WAN steeds meer traditionele netwerken zal vervangen. Er zijn ondertussen meer dan 60 leveranciers bekend. De belangrijkste 15 (waaronder Cisco, Juniper, VMware, Fortinet en Palo Alto Networks) staan opgenomen in de laatste versie van het Gartner Magic Quadrant
Opvallend is de verschillende achtergronden van de leveranciers: VMware is bekend van zijn virtuele machines, Palo Alto Networks en Fortinet zijn vooral security- en firewall leveranciers, terwijl Cisco en Juniper vooral bekend zijn geworden door hun routers en switches.
Voor grote organisaties lijkt SD-WAN dé oplossing om sneller en flexibeler de IT te organiseren. Toch gaat de implementatie niet zo snel als leveranciers een paar jaar geleden hadden voorspeld. De grote uitdagingen zijn namelijk niet technisch, maar organisatorisch van aard. Complete afdelingen die nu architectuur issues, security configuraties, hardware leveringen en implementaties doen, worden met SD-WAN eigenlijk overbodig…
Brownfield of Greenfield
Een ander grote uitdaging voor SD-WAN is het feit dat elke organisatie al een IT netwerk heeft. Er zijn altijd `legacy’ systemen waarmee rekening moet worden gehouden. Dit noemt men een Brownfield. Er zijn eigenlijk geen Greenfield situaties, waarbij vanaf het begin volledig de SD-WAN principes kunnen worden toegepast. Dit is wel het ideaalbeeld wat vaker door leveranciers wordt voorgespiegeld: met onze systemen wordt alles veel makkelijker. Dat is misschien wel waar, maar is niet zomaar te realiseren. Het is misschien goed te vergelijken met een huis renoveren of nieuwbouw. Nieuwbouw is makkelijker te realiseren dan een renovatie van een bestaand huis, vooral als de huidige bewoners er ook nog willen blijven wonen. Dan is veel meer afstemming nodig en geeft dat aannemers grote uitdagingen. Maar dat is wel de situatie van SD-WAN implementaties: je kunt niet vragen de bestaande organisatie te stoppen met werken terwijl de basis van de IT infrastructuur wordt vervangen. Daarnaast vraagt het veel aanpassing van de bestaande organisatie, die minder operationele taken moet gaan uitvoeren en veel meer met architectuur en security principes bezig moet gaan. Configuratie en implementaties van nieuwe diensten worden overgenomen door SD-WAN met een eenvoudige web configuratietool.
SD-WAN, 5G en Slicing
SD-WAN lijkt volledig te maken te hebben met IT netwerken en weinig met mobiele technologie. Toch is dat niet waar. Onlangs is een demonstratie gegeven door Deutsche Telekom samen met Ericsson, waarbij een 5G slice met een bepaalde bandbreedte en garanties, internationaal is geconfigureerd. Dit kon men doen met behulp van een centrale dirigent (`orchestrator’), die zowel het 5G Radio netwerk als alle WAN netwerkverbindingen aanstuurde, om een nieuwe dienst voor een klant te configureren. Volgens mij is dit ook een bewijs dat 5G slices niet goed mogelijk zijn zonder SD-WAN technologie. Operators zoals KPN verkopen SD-WAN oplossingen wel aan klanten, maar hun eigen netwerken klaar maken voor SD-WAN blijft een uitdaging.
Conclusie
SD-WAN is een interessante ontwikkeling voor grote organisaties, waarbij in een centrale configuratietool of orchestrator het makkelijk wordt om IT diensten en netwerken te monitoren en te configureren. De implementatie is veel lastiger, omdat normaal alle netwerkcomponenten moeten worden vervangen door SD-WAN types. Ook zal de organisatie sterk moeten veranderen en is het niet meer mogelijk om decentraal nog wat aan te passen aan een firewall, router of switch. Niet het gebruik, maar het implementeren van SD-WAN zie ik daarom als de grootste uitdaging.
