Software Define Network ist die schöne neue Welt die auch immer mehr Einzug in die Bereiche Firewall, Routing, IPS und Application Control hält. Gerade letztere sind in Wirklichkeit nichts anderes als Deep Packet Inspection und benötigen dementsprechend viel Leistung. Vor ein paar Jahren war alles nur auf Softwarebasis vorhanden. Da muss man an sich nur an die Zeiten von SecureComputing’s Sidewinder zurück denken. Flexible waren die Lösungen alle, keine Frage – aber Performance? Nein! Plattformen auf Basis von x86 haben zwar Massiv an Leistung zugelegt und zeigen dies auch beeindruckend in virtuellen Umgebungen wie VMware & Co.. Nur im Netzwerk-Bereich ist aber vieles noch Wunschdenken, trotzdem sind schon viele Hersteller dabei und bieten Produkte als virtuelle Systeme an, die aber nichts als reine Softwarelösungen im Netzwerkbereich verloren haben. Natürlich gibt es auch Fälle bei denen es wirklich Sinn macht, auf virtuelle Systeme zurückzugreifen – aber eben nicht unter allen Umständen.
Jetzt könnte man argumentieren, dass Hardware Hersteller ihr Felle davon schwimmen sehen und sie deshalb Marketing für Hardware machen. Dem ist aber nicht so. Hardware im Bereich Netzwerk ist nach wie vor noch wichtig und hier spielt es keine Rolle was schon alles eine hübsche GUI hat und als virtuelle Appliance zur Verfügung steht. Am Ende werden die Gefangenen gezählt und das gilt insbesondere für Performance im Netzwerk. Auch in der Virtualisierung muss man irgendwann mal auf die Physik. Das gilt für das Netzwerk erst recht. An dieser Stelle von Software Define Network zu sprechen, bedeutet, dass die moderne Hardware entsprechende Schnittstellen hat sind in das Gesamtkonzept und somit in das zentrale Management zu passen. Aber es ist und bliebt immer noch Physik, die in den Core-Bereichen eines Netzwerk nach wie vor ihren festen Stellenwert hat.
Nehmen wir als Beispiel Cumulus Networks, ein Hersteller von auf Linux basierenden Switch Betriebssystemen. Die Hardware für dieses OS ist von vielen Herstellern, EdgeCore, Penguin, Dell, HP usw. aber alle haben was gemeinsam – eine Broadcom Switch-Fabric die man anfassen kann, wie auch die 10G und 40G Ports die daran angeschlossen sind. Für High End Hersteller im Netzwerk Bereich wie Arista gilt das gleiche, es geht nicht ohne Physik. Alle die den Hersteller Arista nicht kennen, hier handelt es sich um ehemalige Cisco Mitarbeiter die ein neues Unternehmen gegründet haben, um speziell im Bereich für Rechenzentren Hochleitungsswitche anbieten. Im Bereich Routing ist das gleiche Bild vorhanden. Routing auf echten Hardware Engines ist eine andere Liga. Hierzu nur zwei Beispiele; HP RZ Switch der 5000’r Serie, Layer 3 Routing mit 155 Millionen Pakete pro Sekunde und einem Durchsatz von 208 Gigabit/s. Der Hersteller Cisco auf Basis eines Nexus Cluster für das RZ mit nur zwei Chassis 320 Gigabit/s Durchsatz im Routing. QED. Wenn alles in Software wirklich so einfach wäre, muss man sich die Frage stellen, warum im DeCIX Alcatel Lucent 7950 XRS Systeme und nicht Vyatta & Co. auf x86’er Hardware im Einsatz sind?!
Trotzdem gibt es viele Anwendungsfälle bei denen es mehr Sinn macht auf virtuelle Systeme zu setzen. Wichtig ist, dass die Rahmenbedingungen passen und die benötigten Bandbreiten und Datendurchsätze sich noch ohne Probleme auf Basis der x86’r Architektur verarbeiten lassen. Ein mögliches Szenario sind Onlineshops oder Fachhändlerbestellsysteme bei denen es nicht um mehrere tausend gleichzeitige Benutzer geht. Hier bietet es sich an alles in der virtuelle Welt zu lassen; Firewall, ADC, SSL Offload, IPS und WAF. Da es in einem solchen Szenario mehr um den Schutz des gesamten Systems als um das Handling riesiger Volumina an Benutzern und Traffic geht, ist hier auf virtuelle Systeme zu setzen richtig. So verbleiben alle Daten innerhalb des Hypervisors und man hält die zusätzliche Latenz die auftritt, wenn die Daten zwischen Hypervisor und Physik hin und her müssen. Ein weitere gutes Beispiel ist der Einsatz von virtuellen Firewalls in Niederlassung, wenn dort entsprechend verfügbare virtuelle Umgebungen bereitstehen. Geht es hingegen um Firewallsysteme am Perimeter eines Rechenzentrums, größerer Niederlassungen oder gar der Hauptniederlassung ist Physik die Antwort. Das gleiche gilt für Firewalls die lokale Segmente im LAN voneinander trennen sollen. Hier ist Physik ebenfalls die einzige Antwort.
Wie aber die Beispiele ebenfalls zeigen, gibt es nicht die pauschale Lösung bzw. Antwort auf die Frage virtuell oder physikalisch? Um eine solche Frage beantworten zu können müssen alle Rahmenbedingungen und Anforderungen berücksichtigt werden. Manchmal braucht es auch einen Kompromiss. Aber bei allen Vorteilen von virtuellen Umgebungen in den Bereichen Server, Datenbanken, Anwendungen, VDI & Co., die ohne Frage alle sehr leistungsfähig sind, gibt es immer noch Grenzen und hier ganz besonders im Bereich des Netzwerks und daher ist Hardware in Zeiten der Virtualisierung immer noch wichtig.