Software defined networking: welke benadering past bij uw situatie?

Mirjam Hulsebos portret

IT-nieuwswebsites staan al enige tijd bol van de introducties van SDN hard- en software. SDN staat voor software defined networking. Wat is dat precies? Hoe raakt het aan andere ontwikkelingen zoals software defined datacenters? En waarin verschillende de benaderingen van de diverse leveranciers van elkaar?

Alle netwerkleveranciers zoals Cisco en Juniper hebben of komen allemaal met producten op het gebied van SDN. Dat geldt ook voor specialisten in application delivery zoals F5, maar ook voor leveranciers van hypervisors zoals VMware en Microsoft. Omdat deze partijen networking allemaal vanuit een andere invalshoek benaderen, verschilt het aanbod en verschilt soms ook wat ze precies onder SDN verstaan. Het is immers zo’n hype dat de term aan inflatie onderhevig is, precies zoals dat ook met het begrip cloud is gebeurd.

Definitie
Onze definitie van SDN is: het loskoppelen van de hardwarelaag – routing en switching – van de laag waar de beslissingen worden gemaakt over welk verkeer waarheen gaat en welke aanvullende diensten nodig zijn op het gebied van security, QoS, application delivery enzovoort. De aansturing van het netwerk gebeurt via een centrale controller, waar je templates en policies vastlegt. In plaats van dat een netwerkbeheerder alle switches separaat moet configureren, kan hij vanaf de centrale controller aansturen welke applicaties welke netwerkdiensten nodig hebben. Of, zoals Wim Coenen, director business development van netwerkintegrator Vosko Networking het zegt: “Je wilt het één keer bedenken en vervolgens volledig geautomatiseerd duizend keer gelijktijdig uitvoeren. Dit verhoogt de snelheid waarmee wijzigingen kunnen worden doorgevoerd, het vergroot de voorspelbaarheid en het verlaagt de kans op fouten. Immers, als je alle switches handmatig moet configureren, is een foutje snel gemaakt.” De tijdwinst die hiermee gemaakt kan worden, kan worden gestoken in innovatie.

Twee visies
Tot zover zijn de meeste leveranciers van SDN het nog wel met elkaar eens. Alleen werken ze die visie op een andere manier uit. Welke invloed heeft die uitwerking op de keuzes die u vandaag de dag al moet maken als het om uw netwerkinfrastructuur gaat? ICT/Magazine zat aan tafel bij VMware en Cisco, twee fabrikanten die jarenlang complementair aan elkaar waren en diverse partnerships hebben, maar die in dit nieuwe veld elkaar plotseling tegenkomen als concurrent. Zij representeren twee visies. De spelers die vanuit de datacenterhoek het netwerkdomein in komen (zoals VMware), zeggen: je hebt alleen nog ‘domme’ hardware nodig, waarbij het ene merk volledig inwisselbaar is voor het andere, vergelijkbaar met x86 servers. In dat geval houden hardwareleveranciers alleen de prijs over als concurrentiewapen. Traditionele netwerkleveranciers (zoals Cisco) zijn het hier uiteraard niet mee eens. Hoewel ook zij menen dat de hardware volledig software-aanstuurbaar moet zijn, vinden zij het – in ieder geval in de komende jaren en voor veeleisende systemen – verstandig om een wat sterkere koppeling te maken tussen het onderliggende hardwarenetwerk en de bovenliggende softwarematige intelligentie. Zij stellen dat innovatie vooral wordt gedreven door een krachtige combinatie van innovatieve hard- en software. Hoe geven Cisco en VMware invulling aan hun visie?

Opnieuw beginnen
Marc Samsom, verantwoordelijk voor datacenter en virtualisatie bij Cisco Systems in Nederland, benadert SDN vanuit de applicatiekant. De Cisco SDN-suite, die deze zomer op de markt komt, heet niet voor niets Application Centric Infrastructure (ACI). “Een netwerk is een middel, geen doel. Het doel is om applicaties optimaal te laten presteren. Daarvoor hebben ze connectivity nodig, security, application delivery en soms QoS. Traditionele netwerken stapelen al die diensten, waardoor ze heel complex zijn geworden. ACI is een netwerk dat denkt vanuit de behoeften van een applicatie, vanuit policies dus. In die policies leg je vast wat een applicatie precies nodig heeft.”

ACI weerspiegelt Cisco’s visie op hoe je een netwerk zou opbouwen als je niet met de erfenis vanuit de jaren ’80 zou kampen. Samsom: “Het feit dat traditionele netwerken diensten stapelen, heeft ermee te maken dat we steeds meer eisen gingen stellen aan netwerken. De eerste generatie netwerken regelden enkel en alleen de connectiviteit. Daarna moest er ook beveiliging komen. Toen we spraak-over-IP gingen transporteren, werd QoS belangrijk. Er werden steeds meer functionaliteiten tegen het basisproduct aangeplakt. Met ACI hebben we gezegd: hoe zouden we een netwerk opbouwen als we helemaal opnieuw zouden mogen beginnen, zonder die erfenis? Dan kom je tot de conclusie dat je de hardwarelaag nodig hebt voor het transport en dat je de rest het best softwarematig kunt aansturen.”

Daar is VMware het mee eens. Deze leverancier heeft al geruime tijd een SDN-aanbod genaamd NSX en heeft ook al klanten die hiervan gebruikmaken. Het grote verschil in de benadering van de beide leveranciers zit in hoe ze die software- van de hardwarelaag scheiden. Jeremy van Doorn, manager systems engineering EMEA bij VMware, zegt: “Wij benaderen alles vanuit de software om de simpele reden dat je software veel sneller kunt innoveren dan hardware. Je vervangt niet ieder halfjaar je hardware, maar wij komen wel ieder halfjaar met een grote nieuwe release die zeer eenvoudig en zonder downtime door te voeren is. De randvoorwaarde is wel dat je een fysiek netwerk hebt dat goed functioneert en dat aan alle eisen voldoet die je stelt aan de snelheid ervan. Het maakt ons niet uit welke netwerkapparatuur dat is. Als de connectivity maar is geregeld dan kunnen wij met ons product NSX alle policies op het gebied van zowel networking als security toepassen die de klant maar wil. Ook bijvoorbeeld het volledig automatisch uitrollen en configureren van virtuele VPN gateways of load balancers, want die leveren wij binnen onze oplossing mee.” Dit staat ook wel bekend als een overlay netwerk.

Overlay of geïntegreerd?
Cisco daarentegen denkt dat het verstandig is om het fysieke netwerk en het overlay netwerk vanuit één console aan te sturen. En dat gaat alleen als je kiest voor een geïntegreerde benadering. “Ik denk dat zo’n overlay benadering best goed werkt voor standaardapplicaties die op een virtuele server draaien,” zegt Samsom. “Maar de meeste bedrijven hebben een paar bedrijfskritische applicaties die nog niet kunnen worden gevirtualiseerd. Die draaien op een bare metal server. Denk bijvoorbeeld aan Oracle databases, maar ook aan veel legacysystemen. Juist omdat deze systemen zo bedrijfskritisch zijn, verwachten ze van het netwerk een reactietijd van milliseconden of zelfs microseconden. Wij hebben er jaren over gedaan om de reactiesnelheid van het netwerk terug te krijgen van seconden naar microseconden. Bij nieuwe toepassingsgebieden zoals de aansturing van een smart grid is dat bepaald geen luxe. Daarom vinden wij het belangrijk dat de aansturing van zowel het fysieke als het virtuele netwerk in één hand blijft.” Hij gebruikt de metafoor van een hamer en een beitel. “Stel de beitel is het fysieke netwerk en de hamer het overlay netwerk. Met de hamer stuur je de beitel aan. Dat gaat altijd efficiënter en effectiever als hamer en beitel door dezelfde persoon worden vastgehouden. Als jij die beitel vasthoudt en ik moet daar met een hamer op slaan, dan is er een veel grotere kans dat ik missla. Het is minder stabiel. Zo is het ook als het overlay netwerk en het fysieke netwerk twee gescheiden werelden zijn, die ook nog eens separaat worden gemanaged. En nogmaals, dat is bij niet-bedrijfskritische applicaties helemaal geen probleem. Maar met de opkomst van bijvoorbeeld smart grids denk ik dat steeds meer organisaties behoefte hebben aan aansturing tot op de microseconde. En dat lukt alleen als hardware en software geïntegreerd worden beheerd.”

Daar is Van Doorn van VMware het niet mee eens. “Je moet er natuurlijk wel voor zorgen dat je fysieke netwerk up-to-date is en dat het in staat is om storingen geautomatiseerd op te lossen. Als je netwerk aan die randvoorwaarde voldoet dan maakt het helemaal niet uit dat het fysieke en het virtuele netwerk gescheiden zijn. Ook het argument dat je dan twee netwerken zou moeten beheren vind ik niet echt steekhoudend, want door de verregaande automatisering van NSX zijn aanpassingen in de hardwarelaag van het netwerk vrijwel niet meer nodig. De bestaande, vaak complexe fysieke netwerken kunnen sterk worden vereenvoudigd, waardoor hun betrouwbaarheid en de snelheid ervan omhoog gaat. Het is een beetje als met servervirtualisatie in de begindagen. Toen vonden beheerders het ook spannend als ze niet wisten op welke server de software draaide. Nu hoor je daar niemand meer over. Sterker, wij krijgen juist vragen als een applicatie niet op een gevirtualiseerd platform draait. Zo zal het met deze vorm van netwerkvirtualisatie ook gaan.” Hij zegt nadrukkelijk ‘deze vorm’, want netwerkvirtualisatie kennen we al een tijdje als het virtueel partitioneren van een fysiek netwerk, zodat verschillende verkeersstromen elkaar niet beïnvloeden. Dat is het grote verschil met server- en storagevirtualisatie, waar het poolen van hardware de belangrijkste driver was om in deze technologie te investeren. Samsom zegt dan ook: “Bij SDN ligt het grote voordeel niet in de virtualisatie an sich, maar in de softwarematige aansturing van de hardware.”

Complex
Welke benadering je kiest – een overlay of een geïngegreerd netwerk – hangt volledig af van je eigen situatie, zegt Harm de Haan, manager consultancy bij netwerk- en systemintegrator Telindus. “Het is niet voor niets dat wij diverse merken in ons portfolio hebben. Die verschillen in benaderingen zijn in onze ogen juist goed, het stimuleert innovatie.” Hij kan niet in zijn algemeenheid aangeven wanneer je het best voor welke benadering kiest. “Het succes wordt bepaald door de details. Op hoofdlijnen beschikken de producten over dezelfde features, maar er is natuurlijk wel degelijk verschil in functionaliteit. De behoeften van de applicaties bepalen welke functionaliteit je nodig hebt. Misschien kom je wel uit op een combinatie van beide oplossingen, dat is heel goed mogelijk. Wij zien wel dat door deze ontwikkelingen de adviesbehoefte van klanten met sprongen toeneemt. Het wordt zo complex dat ze zelf eigenlijk niet meer goed de consequenties van bepaalde keuzes kunnen overzien.”

Wim Coenen van Vosko is het met zijn concullega van Telindus eens: het inrichten van de templates en policies in een SDN-model wordt een specialisme. “Wij hebben hiervoor een SDN-team in het leven geroepen waar mensen uit verschillende disciplines in zitten: netwerkspecialisten, securityspecialisten, mensen met kennis van het gedrag van applicaties. Bovendien, networking is één aspect, daarnaast heb je nog te maken met compute en storage, dus ook uit die disciplines zitten mensen in ons SDN-team. Alleen op die manier kun je de complexiteit het hoofd bieden.”

Stimulans voor innovatie
En innovatie, dat is waar het uiteindelijk allemaal om gaat, zeggen zowel Samsom als Van Doorn. “Uit berekeningen van Gartner blijkt dat netwerkbeheerders 84 procent van hun tijd besteden aan ‘keeping the lights on’. Ze werken slechts 16 procent van de tijd aan innovatie. Terwijl die innovatie juist zo verschrikkelijk hard gaat en organisaties er ook zoveel behoefte aan hebben. Denk eens aan al die sensoren die nog niet connected zijn. Ik denk dat de huidige concurrentie tussen leveranciers van SDN de innovatie alleen maar aanwakkert. Leveranciers moeten zichzelf blijven verbeteren, anders haalt een ander ze in.”

Van Doorn vindt het bovendien een groot pluspunt dat SDN de schotten op de it-afdeling weghaalt, omdat applicatiebeheerders, systeembeheerders en netwerkbeheerders eindelijk gaan samenwerken. Of beter gezegd: moeten samenwerken. “We zien bij veel klanten nog altijd een silobenadering. Gaat er ergens wat mis, dan wijzen ze naar elkaar. Dat gaat bij SDN niet langer. Je bent gezamenlijk verantwoordelijk voor het ontwerp van de fabric. Specialisten op gebieden als networking, application delivery en security móeten nu wel samenwerken, ze kunnen elkaar niet langer negeren. Wij adviseren dan ook om een Centre of Excellence op te richten met mensen uit verschillende disciplines die gezamenlijk nadenken welke policies en templates nodig zijn. Want SDN is niet alleen een technisch vraagstuk, het is ook een organisatorisch vraagstuk. Misschien zit de succesfactor zelfs nog wel meer in de samenwerking tussen die verschillende disciplines dan in de techniek an sich. Wij zien dat integrators daar vaak een cruciale rol in spelen. Zij komen vanuit hun rol in het verleden vaak al op die verschillende afdelingen en slagen er vaak wel in om die disciplines samen aan tafel te krijgen.”

Software defined application services voor applicatie-optimalisatie

Aan het woord is Rene Oskam, sales director Benelux bij F5 Networks: “De meeste leveranciers die SDN omarmen, richten zich op de onderste lagen van het OSI-model, waarbij de bovenste lagen traditioneel beheerd blijven. Dat vinden wij zonde van de inspanningen. Wij vinden het van belang dat SDN ook kan worden gekoppeld aan de hogere lagen van het OSI-model, waar de prestatiekracht, veiligheid en betrouwbaarheid van applicaties worden bepaald. Software Defined Application Services richten zich op de optimalisatie van applicaties van het datacenter tot aan de eindgebruiker, ongeacht de status van de onderliggende infrastructuur. F5 voegt daar bovendien beveiliging, beschikbaarheid, identiteitsauthenticatie en toegangscontrole, cloud services en prestatiebeheer aan toe. Door ook deze aspecten software defined te maken, zijn ze makkelijker te beheren. Op die manier haal je de complexiteit uit de infrastructuur en wordt ook de levering van applicaties programmeerbaar. Het resultaat zijn betrouwbare, veilige en krachtige applicaties.”

[einde kader]

 

[kader]

Prijsopbouw

Een ander belangrijk verschil tussen Cisco en VMware is de prijsopbouw. Hoewel Cisco de mogelijkheid biedt om SDN toe te passen op een bestaande omgeving van bijvoorbeeld Nexus5000 of 7000 switches, behaalt de klant de meeste functionaliteit als hij van de grond af aan een nieuwe ACI-omgeving opbouwt. Dat vergt een investering in hardware, waar de software gratis wordt bijgeleverd. VMware hanteert het principe: prijs per virtuele machine per maand. Dan hangt het maar net van het aantal VM’s af hoe hoog je uitkomt. Klanten kunnen daarnaast kiezen om de software aan te schaffen binnen een Enterprise License Agreement.

Bij beide leveranciers ben je als klant het best af als je al een installed base van dat merk hebt staan. Bij Cisco omdat ACI een eigen zeer uitgebreid communicatieprotocol heeft dat kan praten met de volledige Cisco installed base. Voor de communicatie met netwerkapparatuur van andere leveranciers gebruiken ze het open source protocol OpenFlow, dat aanzienlijk minder functionaliteit biedt. Beide protocollen zijn wel geïntegreerd in één en hetzelfde product.

VMware maakt daarentegen twee versies van NSX: een versie voor hun eigen hypervisor vSphere en een ‘multi hypervisor’ NSX voor organisaties die behalve met vSphere ook kan werken met Xen, KVM, Hyper-V of een ander product. Het spreekt voor zich dat NSX voor vSphere over geavanceerdere functionaliteit beschikt. Van Doorn legt uit: “Als de hypervisor een beperking oplegt aan SDN dan kunnen wij onze eigen hypervisor natuurlijk eenvoudig aanpassen, zodat NSX daar makkelijker mee communiceert. Als we Microsoft vragen een aanpassing te doen in Hyper-V is de kans natuurlijk groot dat we nee op rekest krijgen. Bij onze eigen productlijn is er geen rem op innovatie.”

 

Gerelateerde berichten...