Cloud Computing und Applikationen wie SaaS (Software as a Service) sind dem Avaya-Manager Michael Grundl, Sales Leader Networking Central Europe, zufolge nicht mehr wegzudenken. Sie führten aber zu einem erhöhten Bedarf an Internet-Konnektivität, -bandbreite und -verfügbarkeit. Die Nutzung des Internets als Weitverkehrstransportmedium (WAN) für solche Cloud- und andere primär webgestützten Anwendungen wird ihm zufolge "gemeinhin als Internet-as-WAN verstanden". Hybrid WAN bezeichne dagegen die gleichzeitige Nutzung von Corporate WANs, die in der Regel auf Dark Fiber, Leased Line Ethernet oder MPLS-Technologien basierten.
"Demilitarisierte Zonen"
Die meisten Unternehmenskunden würden sich hinsichtlich Verfügbarkeit, Übertragungsleitung und Sicherheit nun mal ungerne auf eine "ungenügende Dienstqualität" verlassen, so Grundl. Um den Nutzdatenverkehr mittels zentraler Firewall- oder IPS/IDS-Systeme vor Angriffen und Datenmissbrauch zu schützen, werde der "Cloud Traffic" in der Regel an einem zentralen Internet-Übergang (Internet Breakout) aus dem Rechenzentrum ins WWW geführt.
Foto: Avaya
Mit so einfachen Erklärungen bringt Grundl auch den ebenfalls vergleichsweise neuen Begriff SD-WAN ins Spiel: "Demilitarisierte Zonen (DMZ) bilden in der Regel einen natürlichen 'Schutzgürtel' zwischen Internet und Corporate Network. Man bezeichnet diese Architektur auch gerne als 'Internet Backhauling', da XaaS-Applikationen/-Verkehr quasi über das Rechenzentrum getunnelt werden.
Der Nachteil liegt auf der Hand: Kostbare Corporate-WAN-Bandbreite kann durch Prio-2-Dienste belastet werden. Echtzeit-Anwendungen wie Sprach- und Videodienste können von diesen neuen Diensten negativ beeinflusst werden - bis zum völligen Dienste-Ausfall. Deshalb bieten moderne SD-WAN-Lösungsanbieter Mechanismen, um den Verkehr bereits lokal in der Außenstelle jeweils applikationsbezogen in das (hybride) WAN auszukoppeln", so Grundl.
Wie er sagt, ist man bei Avaya überzeugt, dass der Markt für SDN und SD-WAN massiv wachsen wird, auch wenn die Sicherheits- und Risikoaspekte im Vergleich zu einer Corporate-MPLS-WAN-Lösung nicht vollständig auszuräumen sind. Wachstumstreiber seien Cloud-Computing und webgestützte Applikationen. Nicht zuletzt deshalb erweitere Avaya seine SDN-Fabric-Architektur aus dem LAN/MAN/Campus (Avaya Fabric Connect) in den WAN-/Außenstellenbereich (Avaya SND FX / Avaya Fabric Extend). Es stellt sich allerdings die Frage, warum MPLS für Kunden nicht mehr so attraktiv ist.
MPLS: Zuverlässig, aber teuer
Die Ausgangslage ist die, dass die meisten Unternehmen für die Anbindung ihrer Zweigstellen oder Niederlassungen auf das Multiprotocol Label Switching oder kurz MPLS als vorherrschende Architektur für ihre Wide Area Networks (WAN) vertrauen. Als Gründe dafür werden unter anderem garantierte Bandbreiten, SLAs, eine hohe Sicherheit und Zuverlässigkeit mit bis zu 9x5-Verfügbarkeit (99,999 Prozent über Managed Services), Quality und Class of Service genannt. Dagegen sprechen vor allem hohe Kosten und jederzeit zubuchbare, aber nicht flexibel abbestellbare Bandbreiten.
Wie Donna Johnson, Director Product Marketing bei Talari, vorrechnet, können Kupfer-T1-MPLS-Leitungen für mittelgroße Außenstellen in den USA 200 Dollar oder mehr je Megabit pro Sekunde (Mbps) im Monat kosten, Breitband-Internet gebe es schon für 10 Dollar je Mbps, Glasfaser-Internetverbindungen sogar schon für weniger als 1 Dollar je Mbps im Monat.
Foto: Experton Group
Henning Dransfeld, Managing Advisor bei der Experton Group, weist darauf hin, dass MPLS als optimale WAN-Lösung für weltweit vernetzte Standorte seine Hochzeit in den Jahren 2003 bis 2005 in Europa hatte, aber nicht die ideale Struktur bietet, um Firmennetzwerke mit sehr vielen "Internet Breakouts" (Internet-Übergängen, s.o.) zu unterstützen. "Durch die immer stärkere Mobilität arbeiten viele Mitarbeiter nicht mehr vom Campus aus, sondern von zu Hause, vom Internet Café oder von unterwegs. Daher wird heute vielerorts eine flexiblere Infrastruktur gebraucht, die einfach besser atmet als die MPLS-Netzwerke", so der in Wales promovierte Betriebswirt.
Es gibt freilich auch gute Gründe, bei MPLS zu bleiben. "MPLS ist generell überlegen in puncto Zuverlässigkeit und Verfügbarkeit. Während das öffentliche Internet sich stetig verbessert hat, kann es sich derzeit nicht 1:1 mit der Verfügbarkeit und Qualität von kommerziellen MPLS Diensten messen, die von Service Provider angeboten und mit SLA`s unterstützt werden. Nichtsdestotrotz reicht die Qualität der Internetverbindungen für viele Anwendungen völlig aus und die Kunden merken keinen Unterschied", sagt Kay Wintrich, Technical Director bei Cisco Deutschland.
Der Netzwerkriese hat mit IWAN (Intelligent WAN) für die eigenen Routing-Plattformen eine auch für Hybrid WAN geeignete Lösung entwickelt, die es laut Kay Wintrich Kunden erlaubt, in einer Aktiv-aktiv-Konfiguration multiple Netzwerkverbindungen zu nutzen, je nach Anwendung und entsprechender Vorgaben zum Beispiel MPLS, DSL oder LTE. IWAN basiert auf Dynamic Multipoint VPN (DMVPN) und ist funktionell auch Teil von Ciscos Cloud Service Router (CSR), der in Public-Cloud-Diensten wie AWS von Amazon und Microsofts Azure zum Einsatz kommt.
Sehr begrenzte WAN-Budgets
Raakhee Mistry, Senior Solutions Marketing Manager bei dem amerikanischen Netzwerkhersteller, hat im Herbst 2013 in einem Blog-Beitrag über Internet-as-WAN und IWAN einige interessante Zahlen genannt. So hat sie Nemertes Research damit zitiert, dass in dem Jahr drei von vier (US-) Organisationen keine zusätzlichen WAN-Budgets offen stehen würden und somit 75 Prozent von ihnen ihren Netzwerkansatz überdenken müssten, um erfolgreich zu bleiben. 46 Prozent der Organisationen hätten damals ebenfalls laut Nemertes angefangen oder geplant, das Internet als WAN zu nutzen.
Experton-Berater Dransfeld denkt, dass diese Zahl für Deutschland sicherlich zu hoch gegriffen sei. Was Internet als WAN angehe, gab es ihm zufolge nach der "Snowdon-Geschichte" auch die Gegenbewegung, dass Fragen aufkamen, wie sicher die Internet VPNs eigentlich sind.
Avaya-Manager Grundl stützt die These, dass die "Sicherheitsbedenken und Risikobetrachtungen in Deutschland deutlich signifikanter ausgeprägt sind". Das Markmomentum werde daher sicherlich niedriger ausfallen als etwa in den USA. Da Geschäftskunden in Deutschland gerne auf schlüsselfertige "Managed Services WAN"-Dienste zugreifen, werde "dem Angebot der marktführenden Carrier- beziehungsweise Cloud-Provider sicherlich eine Schlüsselrolle bei der Einführung von SD-WAN und dessen Erfolg zukommen", sagt Grundl und fügt hinzu: "Auch hier besteht ein erhöhtes Sicherheitsrisiko, jedoch wird dieses quasi an einen 'trusted advisor' ausgelagert und über vertragliche Regelungen abgesichert."
Zwei Wege zu Internet als WAN
Nemertes-CIO und -Chefanalyst John Burke räumt der Computerwoche gegenüber ein, dass sich besagte Umfrage hauptsächlich an US-Unternehmen richtete, mehr als die Hälfte sei allerdings international aufgestellt. Eine neue Studie sei bereits in Arbeit, werde aber erst in zwei Monaten veröffentlicht. Die genannten 46 Prozent der Organisationen planen ihm zufolge auch nicht die gänzliche Abkehr von MPLS. Vielmehr gehe die Überlegung dahin, einen Teil der Zweig- oder Nebenstellen übers Internet ans Firmennetz anzubinden. Einen Rat, welcher Internet-Anteil der richtige sei, wolle Nemertes nicht geben. Aufgrund der Umfragen habe man allerdings die Erfahrung gemacht, dass Unternehmen mit der höchsten Erfolgsquote rund 25 Prozent der Niederlassungen direkt per Internet angebunden hätten.
Foto: Avaya
Nun gibt es freilich nicht nur eine Möglichkeit, das Internet als WAN zu nutzen. Der eine Weg führt laut Burke über einen VPN-Tunnel vom Router in der Niederlassung zum Rechenzentrum oder zu einem regionalen Hub in einer anderen Zweigstelle. Mehr Flexibilität verspreche die Nutzung von "SDN-artigen Technologien" mit pooled oder gebündelten Internet-Bandbreiten.
Breitband-Internet über Kabel, DSL und zunehmend auch über 4G LTE sei derzeit im Fokus der SDN- und SD-WAN-Anbieter im Bemühen, die bestehenden MPLS-Verbindungen zum Teil oder ganz auf andere Technologien umzulenken. VPN-Tunnel sind dem Nemertes-Technologiechef zufolge wahrscheinlich immer noch weiter verbreitet. Die Unternehmen, mit denen sein Institut gesprochen habe, zeigten aber ein wachsendes Interesse an SDN-Technologien, welche eine günstigere Anbindung versprechen und doch genauso gut oder besser liefen als die Konnektivität über MPLS.
Ist MPLS wirklich so ausfallsicher?
Foto: Cisco
MPLS bietet laut Experton-Experte Dransfeld den Vorteil, dass man einen Service Provider mit SLA (Service Level Agreement) als Fully-Managed-Service zur Verfügung hat. "MPLS-Netzwerke gelten als besonders sicher und zuverlässig, was auch daran liegt, dass ihnen eine 9x5 Reliability (Zuverlässigkeit oder Verfügbarkeit) zugrunde liegt. Wenn irgendwo der Service ausfällt, dann wird die Störungsbehebung in einigen Fällen von Servicetechnikern proaktiv angegangen, bevor der Kunde überhaupt eine Störung meldet."
Auf Class of Service, also der Möglichkeit Serviceklassen mit Bandbreiten-Priorisierung für Telefonie (Voice) und E-Mail als weniger dringlichen Best-Effort-Service zu unterscheiden, komme es vor allem dort an, wo nicht so viele Bandbreiten zur Verfügung stehen. Ist der E-Mail-Verkehr auf Best Effort gestellt und wird er insofern nur "nach bestem Bemühen" gewährleistet, kann dieser bei zu geringen Bandbreiten sehr stark ausgebremst werden (Anm. d. Red.).
In Metro-Gegenden, die reichlich mit Ethernet-Infrastrukturen versorgt sind, spiele das keine so große Rolle, so Dransfeld. Anders dagegen in flächendeckenden Wide Area Networks mit Anbindung von lokalen Niederlassungen, die nicht so "breitbandig" ausgestattet sind. "Da ist Class of Service von MPLS-Seite immer noch eine gute Lösung. Allerdings ist MPLS insofern unflexibel, als Bandbreiten zwar auf 24-Stundenbasis bestellt, aber nicht gleich wieder abbestellt werden können und der Service dann für einen Monat weiterläuft", erklärt der Experton Advisor.
Sparpotenziale durch Internet VPN und SDN
Die eigentliche Kostenfalle bei MPLS ist Dransfeld zufolge aber, dass "der Traffic zu den Breakout Points (Netzübergängen) über die MPLS-Infrastruktur im eigenen Netzwerk hin und her transportiert wird und die Distanz zum Breakout oft zu lang ist. Da sind flexiblere Anbindungen gefragt, so dass man mehr Ports offen hat und an mehr Stellen ausbrechen kann. Je mehr Breakouts zur Verfügung stehen umso wichtiger wird die Sicherheitsarchitektur", so der Experton-Manager.
Was Internet-VPNs angeht, gebe es zwei Spielarten: Die eine sei die über Best Effort und Entschlüsselung über IPsec, allerdings ohne Class of Service, die andere mit MPLS einschließlich Class of Service. Das Mehr an Sicherheit hat jedoch auch seinen Preis, weshalb die zweite Internet-VPN-Variante weniger Einsparpotenziale bietet.
Foto: Nemertes
Nemertes-Chefanalyst Burke zufolge sind über Internet-as-WAN auf Verbindungsebene aller Erfahrung nach 80 bis 90 Prozent Einsparungen leicht zu erreichen. Vorteil von SDN-Tools sei der, dass sie gewissermaßen ebenfalls differenziertes Class of Service Management bieten. Die Zuverlässigkeit und Verfügbarkeit der Breitband-Internet-Verbindungen nehme zu. Die von Cisco-Managerin Mistry in ihrem Blog vor zwei Jahren zitierte Rate von 96,6 Prozent sei sicherlich schon übertroffen, wenn sie auch von der für MPLS versprochenen Rate von vier oder fünf Neunen (99,99% oder 99,999%) noch etwas entfernt sei. Seiner Schätzung nach läge die Verfügbarkeit über Breitband-Internet derzeit bei 98 oder 99 Prozent.
Eine 9x5-Verfügbarkeit oder Zuverlässigkeit steht ihm zufolge auch in keinem Vertrag für MPLS, meist einige man sich auf gute 9x3 oder 9x4 Reliability. Allerdings berichteten Unternehmen zunehmend von einer Verschlechterung der MPLS-Services. Ausfälle und Leistungsschwankungen würden sich häufen. Außerdem erlebten viele Unternehmen längere Lieferzeiten für neue MPLS-Links. Waren es früher 60 bis 90 Tage für eine neue Niederlassung oder Zweigstelle, wären es heute mitunter 120 Tage und mehr. Gepaart mit verschlechterter Servicequalität sei das sehr frustrierend für die Unternehmen, so Nemertes-CIO Burke. Es gibt also offenbar gute Gründe, sich nach Alternativen umzuschauen.
Alternative Lösungen und Anbieter
Wie der amerikanische Techtarget Gartner-Analyst Andrew Lerner zitiert, wird MPLS weiterhin eine führende Rolle in WAN-Architekturen spielen. Unternehmen würden aber ein "Hybrid WAN"-Modell favorisieren, das MPLS mit High-Speed-Internet oder Carrier-grade Ethernet verbindet. Wie er Computerwoche gegenüber nun äußerte, würden die Einsparpotenziale von Region zu Region unterschiedlich ausfallen. Was die monatlichen Kosten für Bandbreiten angeht, sieht er beim Wechsel von MPLS zu Internet-as-WAN Einsparungen von 50 Prozent, beim Hybrid-Modell seien es etwa 30 Prozent.
Nach den Anbietern befragt, sieht er reine SD-WAN-Player wie CloudGenix, Viptela, VeloCloud und Ocedo, dann Xaas-Anbieter wie Pertino und Aryaka sowie solche, die sich über WAN-Optimierung und andere Netzwerkservices weiterentwickelt hätten. Dazu gehörten Silver Peak, Talari, FatPipe Networks und Citrix. Gartner geht ihm zufolge davon aus, dass künftig auch etablierte Netzwerkanbieter und neue Player auf den Plan treten werden. Und natürlich könnten SD-WAN und Hybrid WAN auch von den Service- oder Netzwerkbetreibern zur Verfügung gestellt werden. Ipanema wird in dem Zusammenhang natürlich auch immer wieder genannt.
Talari spielt in Deutschland und Europa keine so große Rolle wie in den USA, sieht sich aber weltweit als führender Anbieter im Bereich SD-WAN. Talari-Managerin Johnson beruft sich auf Gartner-Zahlen, wonach derzeit rund 5.000 Niederlassungen SD-WAN nutzen und sagt, dass ihr Unternehmen auf über 200 Kunden mit mehr als 3.000 SD-WAN-Standorten in 35 Ländern verweisen könne, was einem Weltmarktanteil von über 55 Prozent entspräche.
Foto: Cisco
Darüber hinaus hat Talari auch Internet-as-WAN, Hybrid WAN und WAN to Cloud im Portfolio. "Talari fügt sich in jede Netzwerkumgebung und bietet starke Unterstützung für MPLS. Unsere Kunden sind dadurch nicht gezwungen, irgendein Equipment oder den Service Provider auszutauschen und sie können so Schritt für Schritt zu Breitband wechseln, wann es ihnen gefällt", so Johnson. Teil der Talari-Lösung sei die automatische Bildung von VPN-Tunnels. Diese würden als sichere VPNs sowohl entlang der MPLS- als auch der Breitband/Public-Verbindungen agieren und vor dem Verlassen der Kunden-Hardware verschlüsselt werden. SD-WAN ist und bleibt für den Hersteller aber ein zentrales Thema.
SD-WAN und NFV hoch im Kurs
Zum näheren Verständnis: SD-WAN und SDN stehen laut Avaya-Manager Grundl nicht in voller Überseinstimmung zueinander. "SD-WAN überzeugt zwar durch ein automatisiertes, einfaches, sicheres und zentrales sowie applikationsoptimiertes Management der Außenstellenübergänge, jedoch ist die Trennung von Control und Forward (die in SDN gegebene Trennung voin Netzwerktransport und -kontrolle, Anm. d. Red.) nicht zwangsläufig notwendig, da auch konventionelle Geräte und Router Bestandteil der Übertragungskette sein können", führt Grundl aus.
Neben SDN- und SD-WAN sind aktuell NFV-Lösungen für die Network Functions Virtualization hoch im Kurs. Dahinter stehen so große Namen wie Dell, HP, Telefónica und Huawei. Wie der für das Business Management Networking Portfolio in EMEA zuständige Dell-Manager Gerhard Abeska erklärt, biete man im Carrier-Bereich mit verschiedenen Partnern wie Alcatel-Lucent vollständige NFV-Lösungen auf Basis von Dell- und Partnerkomponenten an. Sein Unternehmen habe so das Angebot im Bereich Software-Defined-Rechenzentrum und Hybrid-Cloud-Solutions weiter ausgebaut.
Foto: Dell
"Was SD-WAN betrifft, befinden wir uns im Zeitalter von Software Defined Everything, und daher werden in Zukunft sicher auch Funktionen wie Load Balancing und WAN-Optimierung virtualisiert", so Abeska. "Mittelfristig gehen wir von einer sehr starken Nachfrage bei Internetverbindungen für WAN aus. Das ist ein enormer Wachstumsmarkt", fügt der Dell-Manager hinzu.
Fazit: MPLS ist noch lange nicht weg
Wie die von Computerwoche befragten Experten bestätigt haben, wird MPLS sicherlich noch lange nicht von der Bildfläche verschwinden. Künftig werden aber sicherlich Breitbandlösungen eine größere Rolle spielen. Service Provider haben noch ein starkes Interesse an MPLS, weil es einfach mehr Umsatz verspricht. Aber wie hier und da bereits zu beobachten ist, müssen sie sich der Realität stellen, dass die Kunden sich neu orientieren und entsprechende Lösungen verlangen. Was hoch vertrauliche Unternehmensanwendungen angeht, muss aber dafür Sorge getragen werden, dass Sicherheit und SLAs gewährleistet werden können. (mb)