Wachstumsraten um die 20 Prozent und heuer sogar laut IDC-Prognose über 26 Prozent - trotz Corona-Pandemie: In Sachen SD-WAN herrscht derzeit Goldgräberstimmung. Gründe hierfür gibt es viele: So versprechen Software Defined WANs deutlich günstiger zu sein als klassische MPLS-Netze. Hinzu kommt, dass die klassischen Netzkonzepte die in der Pandemie geänderten Anforderungen - anhaltender Cloud-Boom, geänderte Workloads im Netz durch anhaltendes Remote Working etc. - nur noch bedingt erfüllen.

Allerdings wäre es ein gefährlicher Trugschluss, zu glauben, man müsse lediglich schnell auf SD-WAN migrieren und alle Netzprobleme seien gelöst. Auch wenn die SD-WAN-Technik einfach zu sein scheint und bekannte Internet-Technologien/Verbindungen verwendet: Ohne Planung und Berücksichtigung einiger Grundvoraussetzungen kann dies schnell zu einem riskanten Abenteuer werden. Damit dies nicht geschieht, haben wir mit Horst Kuhn, Head of Network Solutions bei BT, Fragen und Tipps zur SD-Migration diskutiert. Er half uns schon bei der Erstellung unserer FAQ "Was Sie über SD-WANs wissen sollten".

Warum ist die Nachfrage nach SD-WAN-Lösungen derzeit so hoch?

Wir sehen im Markt einen anhaltenden Trend der verstärkten Nutzung und Verlagerung von Anwendungen in die Cloud. Die Entwicklung wurde durch die Corona-Pandemie noch verstärkt, weil viele Unternehmen kurzfristig flexiblere Arbeitsmodelle eingeführt haben, was mit Cloud-Services wesentlich einfacher ist. Gleichzeitig werden Anwendungen immer bandbreitenhungriger und das Internet wird mehr und mehr zum "Trägermedium" der Wahl. Hier liefert SD-WAN als Applikations- und Internet-affine Netzwerktechnologie eine passende Lösung für die Verbindung der Nutzer mit ihren Anwendungen.

In Diskussionen über SD-WANs ist immer wieder von Overlay- und Underlay-Netzen die Rede. Welche Rolle spielen diese?

SD-WAN wird als eine Overlay-Technologie definiert, welche auf ein Underlay, also ein Medium, dass die physische Verbindung bereitstellt, aufsetzt. Im Overlay - also mittels SD-WAN - werden die Verbindungen dann logisch miteinander verknüpft. Ein Vorteil dieser Entkopplung ist, dass man als Underlay eine Vielzahl von Access-Technologien kombinieren kann, von MPLS über Internetzugänge bis hin zu Satellit oder 5G. Für die Ende-zu-Ende-Serviceparameter ist es wichtig, das Gesamtkonstrukt von Overlay und Underlay unter den gegebenen physikalischen Randbedingungen zu betrachten.

Als ein Pluspunkt von SD-WANs wird immer wieder der Preis angeführt? Welchen Stellenwert sollte das Preisargument bei einer Entscheidung pro oder contra SD-WAN haben?

Grundsätzlich sollte man bei der Einführung von SD-WAN vor allem die aktuellen und zukünftigen Geschäftsprozesse im Blick haben. In erster Linie gilt es, diese effizient und effektiv zu unterstützen. In dieser Gesamtbetrachtung sollte sich für den Kunden ein positiver Business Case darstellen. SD-WAN ist eine neue Technologie, erfordert einen Umbau im Netz und somit eine Investition, bietet aber auch neue vielfältige und erweiterte Einsatzmöglichkeiten. Aber um zurückzukommen auf die Underlay/Overlay-Diskussion: Sehr oft wird vergessen, dass ein großer Kostenanteil auf die zugrunde liegende physische Transportinfrastruktur entfällt. Was sich aber sagen lässt: Die Kosten pro Megabit fallen in der Regel geringer aus.

Wenn der Preis nur noch bedingt sticht - welche Argumente sprechen dann für ein SD-WAN? Ist es primär die Security oder der Application-zentrierte Ansatz?

Ich würde hier den applikationszentrierten Ansatz als Hauptkriterium einer Entscheidung pro SD-WAN sehen. Die Technologie bietet erweitere Möglichkeiten, Applikationen zu erkennen und sehr granular zu steuern. Wie eingangs erwähnt, sehen wir SD-WAN als geeignete Technologie, um Anwendungen aus der Cloud zu nutzen und diese und den Nutzer über das Internet einzubinden.

Vielleicht hier noch ein Satz zum Thema "Security": Der Grundgedanke von SD-WAN ist es, eine Technologie bereit zu stellen, die agnostisch auf ein wie auch immer geartetes IP-Netz aufsetzt. Da aus Sicht des SD-WAN-Layer die Transporttechnologie als nicht bekannt und damit als "unsicher" angesehen wird, wird der Datenverkehr im SD-WAN-Overlay immer verschlüsselt übertragen. Insofern ist ein Grundschutz in allen SD-WAN Technologien "ab Werk" eingebaut.

Dennoch sollten sich die Unternehmen grundsätzliche Gedanken um den Security-Perimeter machen. Denn SD-WAN ist für die Nutzung über das Internet prädestiniert, und damit empfiehlt es sich, eine enge Verzahnung von Netzwerk- und Sicherheitsanforderungen vorzusehen.

Apropos Funktionen, welche Features sollte ein SD-WAN der reinen Lehre offerieren?

Der Grundgedanke aller am Markt gängigen SD-WAN-Lösungen ist es, von der Applikation her zu denken. Also Applikationserkennung, -klassifizierung und -priorisierung und anschließend die entsprechende Wahl des Weges vorzunehmen, sind zentrale Bausteine aller Lösungen. Daneben sollten alle Lösungen eine zentralisierte Policy-Einrichtung und -verwaltung bieten, die "Cloud" möglichst nahtlos einbinden und es erlauben, mehrere WAN-Underlay-Anbindungen bedienen zu können.

Und was sind heute übliche Features?

SD-WAN ist nach wie vor eine junge, sich dynamisch entwickelnde Technologie. Ich sehe derzeit einen Trend, die am Markt erhältlichen Lösungen um immer mehr Funktionalitäten zu erweitern, z.B. durch deutlich erweiterte Routing- oder Security-Funktionen und einfachere Einbindung in Cloud-Umgebungen. Damit geht der Markt weg vom ursprünglichen Grundgedanken, eine einfache "Plug & Play"-Technologie bereit zu stellen, und wir sehen eine Erweiterung hin zu einer Funktionsvielfalt, wie sie aus klassischen gerouteten Netzen, aber auch von Security/Firewall-Lösungen bekannt ist. Damit werden die Lösungen einerseits immer komplexer, aber auch mächtiger und erlauben es so, auf die individuellen Kundenbedürfnisse besser einzugehen.

Welche SD-WAN-Spielarten gibt es? Die einen propagieren etwa einen zentralistischen Ansatz, die anderen wollen die Logik in den Edge-Bereich verlagern?

Der ursprüngliche Ansatz ist ein zentralistischer: also möglichst viel "Intelligenz" in eine zentrale Controller- und Orchestrationsumgebung zu verlagern und damit die Komplexität vom Endgerät wegzunehmen. Dies erlaubt es, günstigere und einfachere Endgeräte zu nutzen und über das zentrale Management die Verkehrsbeziehungen zu administrieren.

Mittlerweile gibt es aber auch mehr und mehr Lösungen, die den Ansatz verfolgen, performante Endgeräte mit SD-WAN-Funktionalität anzureichern, aber dennoch über eine zentrale Instanz das Netzwerk administrieren.

Und was ist zu empfehlen?

Ich denke beide Ansätze haben Ihre Berechtigung. Am Ende gilt es, sich für die Lösung zu entscheiden, welche für den Use Case des Endkunden am besten geeignet ist. Dies können Fragestellungen sein, ob man bereits existierendes Equipment weiterverwenden kann und will, oder welche Features mir als Kunde wichtig sind und ob diese in der Hardware verbaut sind oder als Add-on implementiert werden müssen.

Wie sieht es mit dem Aspekt Co-Managed versus Self-Service aus?

Wir sehen am Markt alle Spielarten von Self-Service über Co-Managed bis zu vollgemanagten Services.

Self-Service ist für manche Unternehmen durchaus eine Option, zumal die Administrationsoberflächen einfacher und intuitiver geworden sind. Man darf aber nicht vergessen, dass die Planung und der Betrieb eines komplexen Netzwerks nach wie vor umfassendes Know-how erfordern - dazu gehört ein nicht zu unterschätzender Aufwand bezüglich Design, Testing, Implementierung, Serviceintegration, Release-Management, und Wartung, verbunden mit einer weltweiten Logistik. Und auch die SD-WAN-Lösungen werden komplexer und erhalten immer neue Features. Wenn man sich diese Komplexität vor Augen führt, ist es nicht verwunderlich, dass die meisten Kunden nach wie vor voll gemanagte Services nachfragen.

Man sollte also in einer ganzheitlichen Bewertung kritisch analysieren, was eigentlich das Ziel ist. Den meisten Unternehmen ist es vor allem wichtig, dass sie die Kontrolle über ihr Netzwerk nicht vollständig aus der Hand geben. Ein interessanter Mittelweg ist daher der Co-Managed-Ansatz: Die IT-Abteilung überlässt dabei den Großteil der Arbeit dem Service Provider, hat aber volle Transparenz über alle Vorgänge und kann bei Bedarf auch selbst eingreifen.

Die Lösungen eines Service Providers beinhalten dazu oft Erweiterungen und Dienstleistungen, die über die Off-the-Shelf-Lösung des SD-WAN-Herstellers hinausgehen. Beispielsweise bieten wir erweiterte Möglichkeiten im Monitoring und Reporting, etwa mit Hilfe von ThousandEyes, stellen ein nahtloses Interworking mit bestehender MPLS-Technologie oder der Cloud sicher und liefern integrierte Security-Lösungen.

Kann ich für SD-WANs die gleichen SLAs erhalten wie für mein klassisches WAN?

Klassische Radio-Eriwan-Antwort: "Im Prinzip - Ja", aber die Qualität des Transportmediums, also das Underlay, definiert zu einem Großteil den Gesamt-SLA. Wenn ich zum Beispiel eine symmetrische Business-Ethernet-Verbindung durch eine überbuchte Consumer-Grade DSL-Verbindung ersetze, werden sich sicherlich die zugesagten SLA-Parameter als Eingangsgrößen ändern.

In die SLA-Betrachtung muss also stets das Gesamtsystem aus Overlay und Underlay einfließen.

SD-WANs nutzen ja Internet-Verbindungen. Wer übernimmt das Internet-Performance-Management?

Mit SD-WAN haben wir die Möglichkeit, uns ein Bild über die Qualität der zur Verfügung stehenden WAN-Anbindungen zu verschaffen, was ja unmittelbaren Einfluss auf den Service hat. Je nach definiertem SLA-Parameter wird das SD-WAN den Datenverkehr so über die angeschlossenen Wege steuern, dass die Performance der jeweiligen Applikation die vorgegebenen SLA-Werte einhält. Wichtig ist aber, dass der Lieferant der Internet-Zugangsleitung natürlich in der Pflicht steht, seine Leistung entsprechend des durch ihn zugesicherten SLAs zu erbringen.

Es ist daher hilfreich, Overlay und Underlay aus einer Hand zu beziehen. So lassen sich Zuständigkeitskonflikte im Betrieb von vornherein vermeiden.

Kann ich ein SD-WAN auch mit 5G oder Satellitenverbindungen realisieren?

SD-WAN ist als Overlay-Technologie definiert und kann mit jeder IP-basierten Transporttechnologie arbeiten. Insofern, ja, Mobilfunk-anbindungen und Satellitenverbindungen können genutzt werden. Wichtig ist, dass die Serviceparameter der Anbindung zu den Anforderungen der über diese Strecken genutzten Applikationen passen. Wenn dies gewährleistet ist, spricht nichts gegen eine Nutzung und ist eine sehr interessante Möglichkeit z.B. medienredundante Lösungen zu realisieren. Wir nutzen 5G beispielsweise bei einigen Kunden für die Anbindung kleinerer Standorte als Backup neben der Internet-Verbindung.

SD-WAN ist ja Policy gesteuert, wer erstellt die Policies und was muss ich dazu wissen?

Dies ist eine wichtige und vielfach unterschätzte Fragestellung bei den Anwendern. Grundsätzlich sollten die Policies vom Kunden kommend entsprechend seinen Businessanforderungen definiert werden. Die Erfahrung zeigt, dass die Kunden oft wenig Aussagen über die zu unterstützenden Applikationen machen können und auch die Frage, wie geschäftskritisch eine Anwendung ist bzw. welche SLA-Parameter erforderlich sind, sich nicht eindeutig beantworten lässt. Hier hilft SD-WAN in einem ersten Schritt über das Feature "Application Visibility", Transparenz über die eingesetzten Applikationen zu erhalten. Darauf aufbauend lassen sich dann gemeinsam die erforderlichen Policies definieren.

Nicht zuletzt deshalb ist es ratsam, die SD-WAN-Einführung gemeinsam mit einem erfahrenen Partner in Angriff zu nehmen. Es gilt die Lösung von der Applikation, dem User und der Businessanforderung her zu betrachten, und das geht weit über die reine Bandbreitendiskussion hinaus.

Ich werde nach Traffic-Pattern/Verkehrsmustern gefragt. Warum? Ich dachte, mit dem Wechsel von MPLS zu SD-WAN muss ich mich nicht mehr mit der Verkehrssteuerung herumärgern.

Die Technik gibt dem Netzwerkverantwortlichen Hilfestellungen und Möglichkeiten an die Hand, bedingt aber ein durchdachtes Design und eine Planung, um die gegebenen Vorteile auch zu nutzen. Sehen wir es positiv: Mit SD-WAN habe ich die Möglichkeit, sehr viel granularer eine Verkehrssteuerung vorzunehmen. So können Unternehmen je Applikation definieren was geschäftskritisch ist, was hingegen kann niedriger priorisiert werden, wer darf mit wem kommunizieren und welche WAN-Anbindung soll primär genutzt werden.

All diese Gedanken sollte sich der Anwender machen. In der Umsetzung unterstützen die SD-WAN-Lösungen den Anwender dabei, die Policies und Nutzerprofile zu definieren und ermöglichen durch den zentralisierten Ansatz über die Controller, diese schnell und einfach zu ändern oder anzupassen, ohne dass jedes Endgerät individuell "angefasst" werden muss.

Welche Bedeutung hat die Frage nach dem Hersteller der SD-WAN-Hardware bei der Suche nach einer entsprechenden Lösung? Ursprünglich wurde mit SD-WAN ja einmal die Idee der White-Label-CPE propagiert.

In der Tat ist die SD-WAN-Technologie "Software"-dominiert und lässt sich auch auf einer entsprechend dimensionierten "White-Label"-Hardware implementieren. In den meisten Implementierungsszenarien stellt sich allerdings oft heraus, dass der Einsatz der vom Hersteller empfohlenen Hardware vieles einfacher macht. Die Hardware ist spezifiziert, getestet und oft auch kommerziell attraktiver als ein White Label CPE.

Bei der Anbindung von Cloud-Lösungen, z.B. von AWS, Microsoft Azure, Google etc., sehen wir allerdings den Einsatz von virtuellen Appliances auf der vom Cloud-Anbieter bereitgestellten Serverinfrastruktur als geeignetes Mittel der Wahl.

Welche typischen Migrationsfehler gilt es zu vermeiden?

Die größte Hürde die ich sehe ist, dass man sich bewusst sein sollte, dass die Einführung von SD-WAN üblicherweise kein 1:1 Ersatz für das bestehende Netzwerk ist, sondern einen Architekturwechsel bedingt. Daher kann ich nur empfehlen, eine umfassende Planung vorzunehmen und professionelle Partner mit einzubeziehen, um eine Reibungslose SD-WAN-Einführung und -Migration sicherzustellen.

Haben Sie ein paar Best-Practice-Tipps für uns?