Software Defined Networking: De strijd om de data-plane
Tijdens VMworld US eind augustus 2013 is de strijd rondom Software Defined Networking echt los gebarsten, VMware kondigde NSX aan. Elke belangrijke vendor op het gebied van netwerken, firewalls, intrusion protection systemen en loadbalancers kondigde support voor NSX aan. Allemaal behalve 1, de grootste: Cisco Systems. Dit blog geeft een inzicht waarom.
Het doel van Software Defined Networking, kortweg SDN, is om op een eenvoudige manier het netwerk te (her)configureren en te monitoren. In een vergaand geautomatiseerd datacenter blijkt steeds vaker dat de doorlooptijd van het ‘live’ brengen van applicaties niet verder versneld kan worden door de afhankelijkheid van het netwerk. Het aanmaken van een extra security zone op het virtualizatie platform is in een paar muis klikken gebeurt, echter daarna moeten de vlan’s worden geconfigureerd in de netwerk switches en moet de configuratie van firewalls, loadbalancers e.d. worden aangepast.
Om het concept SDN goed te begrijpen is het belangrijk te weten hoe netwerk devices in elkaar zitten. Een netwerk device heeft een data-plane en een control-plane. De data-plane is een proces welk lokaal, onafhankelijk van andere devices, op basis van een vooraf bepaalde configuratie, data pakketten beïnvloed. Dit kan zijn het doorsturen naar een bepaalde interface, weggooien of manipuleren van data pakketten.
De control-plane is een proces wat juist in samenhang met andere devices werkt. Dit is de wereld van routing protocollen en waarbij operators manueel configuraties aanpassen. De control-plane stuurt de data-plane, zodat de juiste executie plaats vindt van de genomen beslissing om bijvoorbeeld het korte/snelste pad te nemen naar een bestemming. De control-plane verandert van configuratie en kan zeker als menselijke handelen nodig is uren of zelfs dagen in beslag nemen.
De complexiteit van beheer van netwerken ligt in de control-plane. Deze is niet eenduidig (elke vendor werkt met andere command line interface of management tool) en vereist diepgaande kennis van variabelen zoals topologie om tot een juiste configuratie te komen.
De oplossing voor het probleem ligt in ‘abstractie’. Abstractie hoe met netwerk devices te communiceren om de data-plane te configureren en abstractie van de topologie en door het netwerk geleverde functionaliteit. Dit is de network hypervisor. High level wordt een netwerk policy gedefinieerd en de netwerk hypervisor vertaalt dit dan naar specifieke configuratie en beslist op welke plaats in het netwerk welke policy het beste geïmplementeerd kan worden.
Controle op de data-plane:
VMware heeft met de acquisitie van Nicira en de aankondiging van NSX grote stappen gezet in de wereld van SDN. VMware heeft hier veel te winnen omdat het graag dezelfde operationele voordelen van server virtualizatie wil brengen naar de wereld van netwerk virtualizatie. De uitdaging voor VMware is dat VMware geen netwerk hardware maakt. Dus hoe krijgt VMware de controle op de data-plane? Het antwoord is even eenvoudig als simpel: ‘overlay networks’, het maken van virtuele tunnels tussen endpoints. Hiermee creëert VMware haar eigen data-plane en is in staat onafhankelijk van fysieke netwerk devices de ‘virtuele’ dataplane te beïnvloeden.
Dit is SDN op een 100% software-only manier. Het grote voordeel hierbij is de snelle adoptie mogelijkheid aangezien er geen hardware afhankelijkheid is. Middels gateways wordt het ‘overlay netwerk’ verbonden met het fysieke netwerk, bijvoorbeeld richting het campus LAN.
Een nadeel van overlay netwerken is de eventuele spaghetti van verkeersstromen in het netwerk. De traditionele netwerk beheerder zal zijn troubleshooting moeten doen op de virtuele netwerk laag. Verder kunnen extra virtuele hops een negatieve impact hebben op latency en gebruik van beschikbare bandbreedte. Het is echter de vraag hoe relevant deze discussie is, zeker omdat de netwerk capaciteit en latency al erg laag zijn in de meeste recente datacenter omgevingen.
Cisco’s antwoord:
Het is duidelijk dat het gebruik van overlay netwerken voor Cisco niet wenselijk is, immers alle features worden op dat moment in software gedaan en het netwerk zal slechts packet forwarding doen. Kortom, alle unieke value-add features op het gebied van Quality of Service, Security etc. van een netwerk worden teniet gedaan en het netwerk wordt commodity.
Cisco heeft met de aankondiging van Dynamic Fabric Automation (DFA) een oplossingsrichting gekozen waarbij het netwerk meer als een uniform geheel kan worden geconfigureerd in plaats van elk device afzonderlijk. Daarnaast biedt DFA ingebouwde separatie van verkeer vergelijkbaar met MPLS. Dit geeft een vergelijkbare flexibiliteit als met overlay netwerken echter op data-plane niveau, dus shortest path en met behoud van relevante features van netwerk devices. DFA biedt ook integratie met de virtuele wereld door de integratie met Cisco’s Nexus 1000v welke beschikbaar is voor alle grote hypervisors in de markt.
Een kanttekening bij deze oplossing is dat DFA specifieke Cisco hardware vereist, hetgeen de adoptie van DFA serieus kan gaan vertragen. Daarnaast heeft Cisco met een ‘spin-out’ startup bedrijf ‘Insiemi Networks’ op VMworld de eerste hints gegeven dat het bezig is met een nieuwe architectuur om de data-plane relevant te houden.
Conclusie:
Er zal nog heel wat uitgevochten gaan worden tussen de verschillende vendoren en de keuze tussen slimme/efficiënte configuratie van fysieke devices vs. gebruik van overlay netwerken is zeker nog niet beslecht. Zowel VMware als Cisco hebben een enorme installed base en zullen er alles aandoen om hun relevantie te behouden en te vergroten. Misschien komt er een dag dat VMware en Cisco juist weer samen zullen optrekken, immers het doel: slimmer en sneller een netwerk kunnen configureren op basis van de eisen van applicaties is voor beide vendoren gelijk. Ik kijk met spanning uit naar verdere ontwikkelingen en aankondigingen en hoe de markt uiteindelijk deze technologie zal adopteren.
Door: Erik Lenten, Technologie Officer Imtech ICT Communication Solutions
