Open Source im professionellen Einsatz
Linux-Magazin 08/2016
© ANTONIO BALAGUER SOLER, 123RF

© ANTONIO BALAGUER SOLER, 123RF

SDN – die Zukunft des Netzwerkens

Neue Netze

Das Netzwerk ist in vielen Bereichen der IT in den Fokus geraten. Schuld daran sind der Siegeszug der Virtualisierung, der Trend zu Software Defined Storage und Themen wie Industrie 4.0. Mit Software Defined Networking (SDN) existiert eine Architektur, die verspricht neue Anforderungen zu bewältigen.

966

Ganz allgemein gesprochen ist die IT-Infrastruktur für drei Aufgaben verantwortlich: Verarbeitung, Speicherung und Transport von Daten. In der Zeit vor der Virtualisierung der x86-Rechner war die IT-Landschaft mehr oder weniger statisch. Sowohl die Planung als auch die Implementierung von Veränderungen oder Erweiterungen lief über Monate oder gar Jahre, angefangen bei der Bestellung über die Lieferung bis zur physikalischen Installation der neuen Hardware. Mit VMware, KVM oder Hyper-V ([1], [2], [3]) hat sich das radikal geändert, denn damit ist es einfach, neue Rechner aus dem Boden zu stampfen.

Diese mit ein paar Klicks neu kreierten Rechner benötigen aber in den allermeisten Fällen nach wie vor eine IP-Adresse und die Integration in ein Netzwerk. Das dauerte früher samt physischem Ab- und Aufbau und Verkabelung bestenfalls Stunden, eher aber Tage. In der virtuellen Welt bemisst sich das Zeitlimit nach Minuten oder gar Sekunden.

Die Netzwerk-Infrastruktur muss mit dieser Dynamik umgehen, aber die traditionellen Ansätze und Konzepte sind dafür viel zu langsam. Hinzu kommt, dass auch andere Entwicklungen zur Beschleunigung beitragen, darunter der Siegeszug der Smartphones, auch verbunden mit BYOD (Bring Your Own Device, [4]). Hier geht es ebenfalls um das Einbinden und die Verwaltung von Geräten, die quasi aus dem Nichts auftauchen und wieder verschwinden.

Zugleich müssen bestimmte Verbindungen nicht nur sofort, sondern auch sicher und verlässlich funktionieren (siehe Kasten "Aber sicher doch!"). Die Reihe von Beispielen für die Notwendigkeit, neuartige Verfahren für die Netzwerkverwaltung zu finden, ließe sich fortsetzen. Ein Schlüsselfaktor aller Lösungen ist die Abstraktion von der Netzwerk-Hardware. Genau hier tritt SDN [5] auf den Plan.

Aber sicher doch!

Neben dem Datentransfer hat das Netzwerk noch eine weitere wichtige Funktion: Es ist eine – von meist mehreren – Verteidigungslinien der Infrastruktur oder der gesamten IT-Landschaft. Welche Chancen oder Risiken bringt SDN in diesem Zusammenhang mit sich?

Die Zentralisierung der Konfigurationsinformationen erlaubt auch eine einfache Erfassung des tatsächlichen Geschehens im Netzwerk. Anomalien, etwa durch Angriffe oder simples Ausspionieren, lassen sich so viel einfacher erkennen. Analoges gilt für Gegenmaßnahmen. Die Auswirkung einer neuen Blockierungsrichtlinie auf den Gesamtverkehr lässt sich bei SDN viel besser abschätzen und messen. Ansätze wie MTD (Moving Target Defense, [12], [13]) sind durch die zentralisiertere Kontroll-Logik ebenfalls besser zu implementieren.

Zur Erinnerung: Bei MTD geht es darum, das Angriffsziel immer wieder neu zu verstecken oder wenigstens dessen Position zu ändern. Dynamische Ablenkungsmanöver durch immer wieder neue Honeypots [14] sind durch SDN überhaupt erst realisierbar.

Ein wachsames Auge ist auf die Daten zu werfen, die in den SDN-Controller hineingehen oder ihn verlassen. Welche Regeln und Richtlinien verändern das Netzwerk und welche Detailinformationen und statistische Daten über die Infrastruktur gehen hinaus? Dies gilt in verschärfter Weise, wenn die zugehörigen Schnittstellen vielen Gruppen, etwa Anwendungsentwicklern, zur Verfügung stehen.

Was bisher geschah

Dieser Artikel beschränkt sich auf IP-basierte Netzwerke, bei denen es eine Reihe autonomer Systeme gibt – typischerweise Switches, Router und Firewalls. Sie empfangen, prozessieren und verteilen Datenpakete. So analysieren sie Herkunft und Ziel und schlagen vor der Weiterleitung eventuell in Tabellen und Regelwerken nach.

Damit das funktioniert, müssen diese Systeme die Netzwerk-Topologie (zumindest teilweise) kennen. Funktion und Position eines Geräts im Netzwerk sind unmittelbar miteinander verbunden. Die Änderung der einen hat direkte Auswirkung auf die andere. Mit der Rechner-Virtualisierung ist die Neupositionierung eines Geräts im Netzwerk im Handumdrehen zu erledigen, das Device kann dadurch sowohl seine Position als auch seine Funktion ändern.

Doch das ist noch nicht alles. Das Netzwerk hat sich im Laufe der Zeit entwickelt. Damit dies kontrolliert geschieht, gibt es die IETF (Internet Engineering Task Force, [6]). Sie hat eine Reihe Protokolle entwickelt, um die einfache Steuerlogik aufzupeppen. Diese Erweiterungen adressieren oft nur eine bestimmte Aufgabe und wirken isoliert.

Die wachsende Anzahl dieser Standards, gepaart mit den herstellerspezifischen Optimierungen und Software-Abhängigkeiten, haben die Komplexität heutiger Netzwerke enorm vergrößert. Zudem haben sie nahezu jede Flexibilität verloren. Strukturelle Änderungen sind riskant und ein mittelgroßes Projekt.

Getrennt marschieren, vereint netzwerken

Die Grundidee von SDN ist schon fast zehn Jahre alt und stammt aus der Stanford University. Damals beschrieb Martin Casando die Idee der Trennung von Datenfluss und der zugehörigen Kontroll-Logik in seiner Doktorarbeit [7]. Er und seine Betreuter Nick McKeown und Scott Shenker gelten als die Väter von SDN. Kenner der Szene wissen, dass die genannten Personen auch eine Firma namens Nicira Networks gegründet haben, die inzwischen zu VMware gehört und die Basis von NSX [8] ist.

Etwas allgemeiner formuliert ist die Idee von SDN die Trennung von Konfiguration und Infrastruktur (Abbildung 1). Die Literatur verwendet hier die Begriffe Controlplane und Dataplane. Zur Letzteren gehören Geräte wie Firewalls, Switches oder Router. In einem SDN ist die auf ihnen vorhandene Kontroll-Logik aber deutlich beschränkt oder im Extremfall gar nicht vorhanden. Dafür ist die Controlplane zuständig. Die dummen Netzwerkgeräte kommen im Ergebnis mit einer viel einfacheren Firmware aus. Befreit vom Denken können sie sich auf das Weiterleiten der Datenpakete konzentrieren.

Abbildung 1: Die Architektur von Software Defined Network.

Die Intelligenz steckt in der Controlplane, die man sich als entsprechend potente Rechner mit Kontrollsoftware vorstellen kann. Sie geben die Richtlinien für den Empfang, die Verarbeitung und Weiterleitung der Datenpakete vor. Damit dies auch funktioniert, müssen Kontroll-Logik und Netzwerkgeräte miteinander kommunizieren. Die Schnittstellen sollten dabei bekannt und standardisiert sein, sodass beliebige Hersteller einfach darauf aufbauen können. Eine Vorreiter-Rolle spielt hier Open Flow [9].

Die Erfahrung hat gezeigt, dass es auch eine Art Aufsichtsinstanz geben muss, die die Entwicklung der Schnittstellen unterstützt, aber auch steuernd eingreift, wenn es in die falsche Richtung geht. Diese Aufgabe übernimmt für SDN seit über fünf Jahren die Open Networking Foundation (ONF, [10], [11]). Mit Google, Facebook, Microsoft, Deutsche Telekom, Verizon und Yahoo sind echte Schwergewichte als Gründungsmitglieder beteiligt.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Grundlagen

    Die Globalisierung der Firmen, die rasant ansteigende Menge von Geräten, Virtualisierung, Cloud und "Bring your own device" machen klassisch organisierte IP-Netze schwer plan- und administrierbar. Statt zu hadern, sollten sich Admins mit einem radikal neuen Ansatz befassen: Software Defined Networking.

  • Mehr Ordnung für das Grafik-Subsystem

    Derzeit ringen noch diverse Kernelmodule und Userspace-Treiber um die Kontrolle der Grafikausgabegeräte. Der Entwickler Jesse Barnes findet diese Situation unerträglich und hat eine Liste aufgestellt, um mehr Ordnung und mehr Funktionen in das Grafik-Subsystem des Kernels zu bringen.

  • Open Network Foundation will Datenströme lenken

    Versehen mit Branchengrößen wie Google, Deutsche Telekom, Cisco, IBM und HP soll eine Open Network Foundation entstehen, die Standards für programmierbare Netzwerke entwickeln will.

comments powered by Disqus

Ausgabe 07/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.