Software Defined Networking: de strijd om de data-plane

Tijdens VMworld US, eind augustus 2013, is de strijd rondom Software Defined Networking echt los gebarsten; VMware kondigde NSX aan. Elke belangrijke vendor op het gebied van netwerken, firewalls, intrusion protection systemen en loadbalancers kondigde support voor NSX aan. Allemaal behalve één, de grootste: Cisco Systems. In deze blog geef ik inzicht in het waarom.

SoftwareDefinedNetworking_20130911

Software Defined Networking
Het doel van Software Defined Networking, kortweg SDN, is om op een eenvoudige manier het netwerk te (her)configureren en te monitoren. In een vergaand geautomatiseerd datacenter blijkt steeds vaker dat de doorlooptijd van het ‘live’ brengen van applicaties niet verder versneld kan worden door de afhankelijkheid van het netwerk. Het aanmaken van een extra security zone op het virtualisatie platform is in een paar muisklikken gebeurd, echter daarna moeten de VLAN’s worden geconfigureerd in de netwerkswitches en moet de configuratie van firewalls, loadbalancers en dergelijke worden aangepast.

Data-plane en een control-plane
Om het concept SDN goed te begrijpen is het belangrijk te weten hoe netwerkdevices in elkaar zitten. Een netwerkdevice heeft een data-plane en een control-plane. De data-plane is een proces welk lokaal, onafhankelijk van andere devices, op basis van een vooraf bepaalde configuratie, data pakketten beïnvloed. Dit kan zijn het doorsturen naar een bepaalde interface, het weggooien of het manipuleren van datapakketten.

De control-plane is een proces wat juist in samenhang met andere devices werkt. Dit is de wereld van routing protocollen, waarbij operators manueel configuraties aanpassen. De control-plane stuurt de data-plane, zodat de juiste executie plaatsvindt van de genomen beslissing om bijvoorbeeld het korte/snelste pad te nemen naar een bestemming. De control-plane verandert van configuratie en kan, zeker als menselijke handelen nodig is, uren of zelfs dagen in beslag nemen.

De complexiteit van het beheer van netwerken ligt in de control-plane. Deze is niet eenduidig (elke vendor werkt met andere command line interface of management tool) en vereist diepgaande kennis van variabelen zoals topologie om tot een juiste configuratie te komen.

De oplossing voor het probleem ligt in ‘abstractie’. Abstractie hoe met netwerkdevices te communiceren om de data-plane te configureren en abstractie van de topologie en door het netwerk geleverde functionaliteit. Dit is de network hypervisor. High level wordt een netwerkpolicy gedefinieerd, de netwerkhypervisor vertaalt dit dan naar een specifieke configuratie en beslist op welke plaats in het netwerk, welke policy het beste geïmplementeerd kan worden.

Controle op de data-plane
VMware heeft met de acquisitie van Nicira en de aankondiging van NSX grote stappen gezet in de wereld van SDN. VMware heeft hier veel te winnen omdat het graag dezelfde operationele voordelen van server virtualizatie wil brengen naar de wereld van netwerkvirtualisatie. De uitdaging voor VMware is dat VMware geen netwerk hardware maakt. Dus hoe krijgt VMware de controle op de data-plane? Het antwoord is even duidelijk als eenvoudig: ‘overlay networks’, het maken van virtuele tunnels tussen endpoints. Hiermee creëert VMware haar eigen data-plane en is in staat onafhankelijk van fysieke netwerkdevices de ‘virtuele’ dataplane te beïnvloeden.

Dit is SDN op een 100% software-only manier. Het grote voordeel hierbij is de snelle adoptie mogelijkheid aangezien er geen hardware afhankelijkheid is. Middels gateways wordt het ‘overlay netwerk’ verbonden met het fysieke netwerk, bijvoorbeeld richting het campus LAN.

Een nadeel van overlay netwerken is de eventuele spaghetti van verkeersstromen in het netwerk. De traditionele netwerkbeheerder zal zijn troubleshooting moeten doen op de virtuele netwerk laag. Verder kunnen extra virtuele hops een negatieve impact hebben op latency en gebruik van beschikbare bandbreedte. Het is echter de vraag hoe relevant deze discussie is, zeker omdat de netwerkcapaciteit hoog is en latency al erg laag is in de meeste recente datacenter omgevingen.

Cisco’s antwoord
Het is duidelijk dat het gebruik van overlay netwerken voor Cisco niet wenselijk is, immers alle features worden op dat moment in software gedaan en het netwerk zal slechts packet forwarding doen. Kortom; alle unieke value-add features op het gebied van onder andere Quality of Service en Security van een netwerk worden teniet gedaan en het netwerk wordt een commodity.

Cisco heeft met de aankondiging van Dynamic Fabric Automation (DFA) een oplossingsrichting gekozen waarbij het netwerk meer als een uniform geheel kan worden geconfigureerd in plaats van elk device afzonderlijk. Daarnaast biedt DFA ingebouwde separatie van verkeer vergelijkbaar met MPLS. Dit geeft een vergelijkbare flexibiliteit als met overlay netwerken, echter op data-plane niveau, dus shortest path en met behoud van relevante features van netwerkdevices. DFA biedt ook integratie met de virtuele wereld door de integratie met Cisco’s Nexus 1000v welke beschikbaar is voor alle grote hypervisors in de markt.

Een kanttekening bij deze oplossing is dat DFA specifieke Cisco hardware vereist, hetgeen de adoptie van DFA serieus kan gaan vertragen. Daarnaast heeft Cisco met een ‘spin-out’ startup bedrijf ‘Insiemi Networks’ op VMworld de eerste hints gegeven dat het bezig is met een nieuwe architectuur om de data-plane relevant te houden.

Conclusie
Er zal nog heel wat uitgevochten gaan worden tussen de verschillende vendoren en de keuze tussen slimme, efficiënte configuratie van fysieke devices versus gebruik van overlaynetwerken is zeker nog niet beslecht. Zowel VMware als Cisco hebben een enorme installed base en zullen er alles aan doen om hun relevantie te behouden en te vergroten. Misschien komt er een dag dat VMware en Cisco juist weer samen zullen optrekken, immers het doel, slimmer en sneller een netwerk kunnen configureren op basis van de eisen van applicaties, is voor beide vendoren gelijk. Ik kijk met spanning uit naar verdere ontwikkelingen en aankondigingen en hoe de markt uiteindelijk deze technologie zal adopteren.


Erik Lenten is Technologie Officer bij Imtech ICT Communication Solutions.

Dit artikel verscheen op 11 september 2013 op de blog van Imtech ICT en is met toestemming op ISP Today gepubliceerd.

Over Erik Lenten