SD-WAN: Frischzellenkur für das Unternehmensnetzwerk

Unternehmen, die Geschäftsanwendungen aus der Cloud nutzen oder auf digitale Business-Modelle setzen, benötigen ein flexibles, sicheres und kostengünstiges Enterprise WAN. Netze auf Basis von Multi-Protocol Label Switching (MPLS) sind in diesem Fall nicht die optimale Wahl. Abhilfe schafft ein Software-Defined WAN (SD-WAN).

Software-basierte Technologien haben sich bereits in mehreren Bereichen der IT-Landschaft etabliert. Auch bei unternehmensweiten Wide Area Networks (WANs) ist diese Entwicklung zu beobachten. Software-Defined WANs entwickeln sich zu ernstzunehmenden Konkurrenten von traditionellen MPLS-Infrastrukturen. Ein Grund dafür ist, dass Unternehmen verstärkt Software «as a Service» (SaaS) aus der Cloud beziehen. Dazu gehören Office-Pakete wie Microsoft Office 365, aber auch ERP-Lösungen (Enterprise Resource Planning) von SAP, Oracle und Workday. Unternehmen aus der Schweiz waren nach Angaben des Marktforschungsunternehmens ISG bislang zögerlich, wenn es um solche Cloud-Services ging. Eine Ausnahme bilden Angebote von Microsoft. Speziell mittelständische Unternehmen in der Schweiz greifen laut ISG darauf zurück, beispielsweise Office 365. Allerdings sind laut ISG schweizerische Firmen dabei, ihre reservierte Haltung gegenüber Cloud-Services zu revidieren.

Wenn die «Nabe» zum Engpass wird

Doch wer Mitarbeitern an entfernten Standorten Cloud-Dienste zur Verfügung stellen will, hat ein Problem, insbesondere dann, wenn das WAN auf MPLS-Verbindungen basiert. Der Grund ist, dass Public-Cloud-Dienste nur über Internet-Verbindungen verfügbar sind. Das heisst, eigentlich benötigt eine Niederlassung nur einen Zugang zum nächsten lokalen Internet-Break-out, um auf das Cloud-Rechenzentrum des Providers zuzugreifen.

Doch de facto sind in den meisten MPLS-WANs solche Internetzugänge nur im zentralen Unternehmensrechenzentrum vorhanden. Der Grund ist, dass dort häufig IT-Security-Lösungen wie Firewalls und Datenanalyse-Systeme konzentriert sind. Sie schützen den Datenverkehr, der durch das Enterprise WAN läuft. Dadurch entsteht eine «Nabe-Speiche-Struktur» (Hub and Spoke), denn auch die Daten von Aussenstellen laufen über die «Nabe» Firmen-Data-Center.

Durch diese Struktur kann es zu einer Überlastung der Verbindungen zum Hub kommen. Die Folge: höhere Latenzzeiten (Latency) und Verlustraten bei der Übermittlung von Datenpaketen (Packet Loss Rate). Das kann dazu führen, dass Cloud-Anwendungen nicht die gewünschte Performance aufweisen.

Erschwerend kommt hinzu, dass Aussenstellen aus Kostengründen oft nur über MPLS-Links mit einer geringen Bandbreite angebunden sind, beispielsweise 10 MBit/s. Denn nach Angaben des Marktforschungsinstituts Telegeography kostet eine IP-VPN-MPLS-Standleitung mit 10 MBit/s beispielsweise im Finanzzentrum London mehr als 400 US-Dollar pro Monat, in Singapur sind es über 500 Dollar. Eine FastE-Verbindung (100 MBit/s) über einen DIA-Anschluss (Dedicated Internet Access) ist dagegen für 5 Dollar (London) beziehungsweise rund 12 Dollar (Singapur) verfügbar.

Breitband-Internet mit SD-WAN

Einen Ausweg bietet ein Software-Defined WAN. Ein solches Netz vermeidet den Umweg über das Unternehmensrechenzentrum. Stattdessen greifen Nutzer in Aussenstellen über den nächstgelegenen Internetzugangspunkt (Point of Presence) und Breitband-Internetverbindungen auf Cloud-Anwendungen zu. Dabei kommen beispielsweise Links mit 100 MBit/s zum Zuge.

Das SD-WAN zieht zu diesem Zweck eine Software-Ebene zwischen dem Enterprise WAN und der Cloud ein. Sie prüft, wie wichtig eine Anwendung für den Geschäftsbetrieb ist und welche Anforderungen sie stellt, etwa an die Latenzzeit. Abhängig davon leitet das SD-WAN Datenströme über WAN-Links, die niedrige Verzögerungszeiten und eine hohe Dienstgüte (Quality of Service, QoS) aufweisen. Weniger zeitkritische Anwendungen mit geringeren Datenvolumina werden weiterhin über MPLS-Verbindungen gelenkt. Lösungen wie Citrix SD-WAN verwandeln somit ein MPLS-Weitverkehrsnetz in eine flexible WAN-Infrastruktur. Das SD-WAN fasst unterschiedliche Verbindungsarten, also Breitband-Internet, MPLS sowie 4G- und 5G-Mobilfunkverbindungen, zu «virtuellen» Übertragungskanälen zusammen. Fällt eine Verbindung aus, schaltet das SD-WAN automatisch auf eine Alternative um.

Beispiel: Microsoft Office 365

Wie ein SD-WAN die Performance und Verfügbarkeit von Cloud-Anwendungen verbessern kann, zeigt das Beispiel Microsoft Office 365. Ende August 2019 hat Microsoft zwei Cloud-Rechenzentren in der Schweiz in Betriebe genommen, in Genf und Zürich. Darüber ist auch die Office-Suite verfügbar.

Wie wichtig es ist, dass der Office-365-Datenverkehr ohne Umwege über Proxy-Server und Analyse-Systeme übermittelt wird, belegt folgende Zahl von Microsoft: Demnach benötigt zwar nur eine kleine Zahl der Endpoints, die Office 365 nutzen, niedrige Latenzzeiten von unter 30 Millisekunden. Das gilt beispielsweise für Microsoft Teams. Doch auf diese Applikationen entfallen 75 bis 90 Prozent der Bandbreite und der Zahl der Verbindungen. Würden diese Daten über MPLS-Links zum Firmenrechenzentrum gelenkt, wären Probleme mit Latenzzeiten und der QoS fast unvermeidlich.

Ein Software-Defined WAN (SD-WAN) in Verbindung mit Microsoft Azure Virtual WAN vermeidet diese Probleme. Stattdessen greifen User in Aussenstellen über den nächstgelegenen Office-365-PoP auf die Anwendungen von Microsoft zu, also die Rechenzentren in Zürich und Genf. Microsoft Azure Virtual WAN (VWAN) ist ein Netzwerkdienst, der über den Backbone von Microsofts Cloud-Plattform Azure Unternehmensstandorte verbindet. Der Zugang erfolgt über die PoPs von Azure. Ein Citrix SD-WAN erkennt bereits anhand des ersten Datenpakets, das übermittelt wird, ob es sich für Office 365 bestimmt ist. Dementsprechend routet es solche Pakte auf dem kürzesten Weg zum Cloud-Rechenzentrum von Microsoft. Andere Informationen werden ja nach ihren Anforderungen an die QoS, die Latenzzeiten sowie IT-Sicherheitsvorgaben über andere Netzwerkpfade übertragen.

Fazit

Für Unternehmen, die Aussenstellen in das Enterprise WAN einbinden und Cloud-Anwendungen nutzen wollen, ist ein Software-Defined WAN unverzichtbar. Nicht nur die geringeren Verbindungskosten sprechen für diesen Ansatz, sondern die hohe Flexibilität. Denn Unternehmen können nach wie vor ihre MPLS-Links einsetzen, profitieren aber gleichzeitig von den Vorzügen von Breitband-Internet und können nötigenfalls 4G/5G-Mobilfunk-Verbindungen einsetzen. Variabler und kostengünstiger geht es kaum.

Autor: Oliver Ebel ist Area Vice President Central Europe bei Citrix.

698