Fotolia

Software-defined WAN: Kaufkriterien für SD-WAN-Produkte

Die Zahl der Anbieter von SD-WAN-Produkten ist nahezu unüberschaubar geworden. Umso wichtiger ist es, sich über Management-, Monitoring- und Visibility-Funktionen zu informieren.

Software-defined WAN mit all den Anbietern, Produkten und Services ist zwar erst wenige Jahre alt, hat sich aber bereits etabliert. SD-WAN, einst eine bahnbrechende Neuheit, gehört heute fast zur Normalität. Mittlerweile bieten über 50 Unternehmen irgendein SD-WAN-Produkt oder einen SD-WAN-Service an.

Zwei wichtige Unterscheidungsmerkmale haben sich bei SD-WAN-Produkten herauskristallisiert. Erstens kombinieren viele Anbieter bereits SD-WAN-Fähigkeiten mit anderen Funktionen, insbesondere Sicherheit, zu einem Gesamtpaket. Zweitens werden die Networking-Funktionen über Managementkonsolen verfügbar gemacht. Weiter unten finden Sie dazu beispielhaft einige Screenshots diverser Anbieter.

Hinweis der Redaktion: Die Nennung oder Nichtnennung eines Anbieters sagt nichts über die Qualität dieses Anbieters beziehungsweise seiner Produkte aus.

Usability macht einen großen Unterschied

Die Managementkonsole eines SD-WAN-Produkts ist das Cockpit Ihres WANs. Dessen Usability bestimmt darüber, wie schnell Sie sich in der neuen Umgebung zurechtfinden und Ihre Aufgaben erledigen können. In einigen Umgebungen ist das eine Sache von Minuten, in anderen hingegen dauert es womöglich mehrere Tage.

Das bringt uns zum nächsten Punkt: die Kommandozeile (Command-line Interface, CLI). Wer mit Cisco vertraut ist, wird ein IOS-ähnliches CLI bevorzugen, was vollkommen verständlich ist. Wenn ein Produkt über ein CLI verfügt, überprüfen Sie auf jeden Fall, dass alle Funktionen der Kommandozeile auch auf der GUI zur Verfügung stehen.

Abbildung 1: Die Managementanwendung von Cato Networks zeigt die Netzwerktopologie, -sicherheit und -optionen sowie den Netzwerkstatus insgesamt.
Abbildung 1: Die Managementanwendung von Cato Networks zeigt die Netzwerktopologie, -sicherheit und -optionen sowie den Netzwerkstatus insgesamt.
Abbildung 2: Silver Peak bietet eine anpassbare Netzwerkübersicht mit Echtzeitstatus, Appliance-Zustand und verschiedenen Metriken, etwa Bandbreitennutzung von Anwendungen, IPs und Ports.
Abbildung 2: Silver Peak bietet eine anpassbare Netzwerkübersicht mit Echtzeitstatus, Appliance-Zustand und verschiedenen Metriken, etwa Bandbreitennutzung von Anwendungen, IPs und Ports.

Network Analytics

Letztlich geht es bei SD-WAN – kaum überraschend – ums WAN, und es ist wichtig, zu verstehen, was im Netzwerk passiert. Während Sie früher das Netzwerk überprüfen oder Skripte ausführen mussten, um Informationen von lokalen Routern zu erfassen, liefern SD-WAN-Services einen konsolidierten Blick auf die Standortmetriken.

Die meisten Management-Anwendungen von großen Anbietern zeigen Ihnen die Vorgänge im Netzwerk in Form von Charakteristika wie Paketverluste, Latenz, Durchsatz und in vielen Fällen auch Jitter.

Abbildung 3: Bei Cato können Sie per Routing und Policies den Traffic nach QoS-Level, Anwendung und ID von Microsofts Active Directory priorisieren.
Abbildung 3: Bei Cato können Sie per Routing und Policies den Traffic nach QoS-Level, Anwendung und ID von Microsofts Active Directory priorisieren.

Einige Metriken werden nur in nahezu Echtzeit angezeigt. Das kann bei der Planung und für das Verständnis der Netzwerk-Performance im zeitlichen Verlauf nützlich sein, weniger allerdings bei der Diagnose von Problemen. Beim Betrachten von Echtzeitmetriken sollten Management-Screens aggregierte Visibility für jeden Standort sowie für die Performance im Upstream und Downstream bieten.

Abbildung 4: Die Flusstabellen von Silver Peak liefern Echtzeitmetriken für jede Verbindung und jeden Anwender über den Silver-Peak-Tunnel.
Abbildung 4: Die Flusstabellen von Silver Peak liefern Echtzeitmetriken für jede Verbindung und jeden Anwender über den Silver-Peak-Tunnel.

Anwendungsmetriken

Im Laufe der Jahre ist die Kluft zwischen den Anwendungs- und Netzwerkverantwortlichen gewachsen. Erstere reden eher von Transaktionen und Serverantwortzeit, während letztere mehr auf Paketverluste und Latenz achten. Selbst wenn sie über Durchsatz sprechen, drücken sie sich unterschiedlich aus – Megabyte pro Sekunde bei den einen, Megabit pro Sekunde bei den anderen.

SD-WAN begann, diese Kluft zu überbrücken, indem es IT-Teams ermöglichte, das Routing per Anwendung zu optimieren. Diese Fähigkeiten baut SD-WAN immer weiter aus, um Metriken auf Anwendungsebene zu liefern. Zu diesem Zweck muss man zunächst Anwendungen identifizieren. Alle SD-WAN-Produkte können Anwendungen anhand von Informationen aus dem 5-Tupel Quell- und Ziel-IP-Adresse, Quell- und Ziel-Port sowie Protokoll identifizieren. Allerdings lassen sich viele Anwendungen nicht durch das Protokoll allein erkennen. Sie können Protokolle gemeinsam nutzen, etwa HTTP, oder mehrere unbekannte Protokolle verwenden. Der Anbieter von SD-WAN-Produkten muss mittels Deep Packet Inspection (DPI) die Anwendung erkennen.

Der zweite Schritt besteht darin, die für diese Anwendung relevante Metrik anzuzeigen. Viele SD-WAN-Produkte bieten inzwischen einen Mean Opinion Score (MOS) für Pfade mit Voice Traffic, da MOS die Standardmetrik für das Messen der Sprachqualität darstellt. Andere sind granularer und bewerten jeden Sprachanruf anhand von MOS.

Es gibt darüber hinaus auch Produkte mit Metriken, die eher bei Application Performance Monitoring (APM) anzutreffen sind. Diese verfolgen zum Beispiel die Serverantwortzeit und Transaktionszeiten. Obwohl die Sichtbarkeit auf Anwendungsebene kein Must-have sein muss, erleichtert sie aber sicherlich das Troubleshooting bei Problemen mit der Anwendungs-Performance. Treten Schwierigkeiten auf, macht jeder zuerst das Netzwerk verantwortlich. Wenn es zu Problemen mit der Anwendung kommt, können Metriken auf Anwendungsebene, die zeigen, dass das Netzwerk funktioniert, viel Zeit sparen, wenn Sie das Problem mit Ihrem SaaS-Provider oder Anwendungsteam lösen.

Abbildung 5: CloudGenix bietet nicht nur traditionelle Netzwerkstatistiken, sondern ermöglicht auch einen Einblick in die Performance auf Anwendungsebene. In diesem Fall lassen sich die Probleme auf den Server zurückführen, nicht auf das Netzwerk.
Abbildung 5: CloudGenix bietet nicht nur traditionelle Netzwerkstatistiken, sondern ermöglicht auch einen Einblick in die Performance auf Anwendungsebene. In diesem Fall lassen sich die Probleme auf den Server zurückführen, nicht auf das Netzwerk.

Sicherheitsfunktionen in SD-WAN-Produkten

Als Organisationen MPLS-Leitungen in ihren Zweigstellen durch dediziertes Internet ersetzten (PDF), rückte die Notwendigkeit von lokaler Sicherheit in den Vordergrund. SD-WANs alleine fehlen die Firewalls, Intrusion-Protection- (IPS) und Intrusion-Detection-Systeme (IDS), Antimalware- und Exfiltrationsfunktionen, um Zweigstellen zu schützen. Am Anfang gingen SD-WAN-Provider Partnerschaften mit Drittanbietern ein. In jüngerer Zeit hingegen haben eine Reihe von Anbietern damit begonnen, Sicherheitsfunktionen in ihre Basisplattformen zu integrieren Diese Security-Funktionalität sollte auf der gleichen SD-WAN-Managementplattform zur Verfügung stehen.

Abbildung 6: Versa Networks bietet eine Ansicht, die den Traffic zu IPs zeigt, die auf einer Blacklist stehen.
Abbildung 6: Versa Networks bietet eine Ansicht, die den Traffic zu IPs zeigt, die auf einer Blacklist stehen.

Fenster in Ihr WAN

Einige bezeichnen die SD-WAN-Managementkonsole als Blick in das WAN. Doch sie gleicht eher einem Cockpit, das Ihnen erlaubt, die Vorgänge in Ihrem Netzwerk zu sehen und zu kontrollieren.

Unterm Strich bieten die Netzwerkanalyse-Tools von SD-WAN-Providern, die wir uns angesehen haben, vielleicht nicht dasselbe Leistungsspektrum wie ein Paket-Sniffer, der imstande ist, alle sieben Schichten zu analysieren, obwohl einige Produkte auch das beherrschen. Sie sind jedoch recht robust und sollten die Fähigkeit jedes IT-Verantwortlichen verbessern, Netzwerkprobleme zu diagnostizieren.

Nächste Schritte

So migrieren Sie von MPLS zu SD-WAN

Gratis-eBook: Ratgeber SD-WAN

Gratis-eBook: Managed-SD-WAN stressfrei einsetzen

Erfahren Sie mehr über WAN und Cloud-Networking