Moderne und flexible SD-Wan Lösungen haben in den letzten Jahren traditionelle und statische WAN-Anbindungen abgelöst. Alle Verbindungswege (MPLS, Internet, LTE/5G, ..) sollen intelligent genutzt werden und entsprechend den Anwendungen und Services soll Bandbreite optimal eingesetzt werden, wobei zeitgleich Latenzen und Paketverluste minimiert werden sollen.
Dabei ist es unerheblich ob Services selbst in einem Datacenter, oder als „SaaS“-Dienste in der Cloud gehostet werden.
Tunnel Overlay
Technisch wird bei SD-WAN Lösungen zwischen einem stabilen Underlay- und einem agilen Overlay-Netzwerk unterschieden. Während das Underlay-Netzwerk mehr oder weniger statische Transportkapazitäten und Wege zur Verfügung stellt, werden im Overlay-Netzwerk tunnelbasierende Verbindungen aufgebaut. Dabei haben VPN-Tunnel natürlich Vorteile aber auch einige Nachteile.
Meistens sind sie statisch, und ein dynamischer (fully meshed) Tunnelbetrieb ist noch nicht weitreichend ausgerollt. Der „Paket-overhead“, der durch die notwendige Verschlüsselung und den Aufbau und die Übertragung der eigentlichen Nutzdaten entsteht, ist dabei nicht zu vernachlässigen.
Session-basierendes SD-WAN ohne tunnel-basierendes Overlay
Juniper geht mit dem „Secure Vector Routing Protokoll“, dessen Technologie durch den Zukauf der Firma 128-T im Jahr 2020 integriert worden ist, einen völlig neuen Ansatz. Dieser Weg ermöglicht SD-WAN Funktionalitäten ohne ein tunnel-basierendes Overlay.
Hierbei kennt der „Smart Session Router (SSR)“ am Netzwerk-Edge die komplette Information über die Topologie, die Sessions, die individuellen Attribute und die Policies eines Netzwerks. Diese Informationen bekommt er von einer übergeordneten Control-Plane. Sollte ein Endpunkt eine Session zu einem anderen Endpunkt benötigen, führt ihn sein Weg über den eigenen SSR zu dem entfernten SSR direkt zu dem angeforderten Endpunkt.
Diese „Smart Session Router“ sind über „Public IPs“, den sogenannten Waypoints, im Netz erreichbar. Zusammen mit der Verwendung des TCP-Ports und einem intelligenten NAT-Verfahren (Network Address Translation) definieren sich Waypoint Adressen für jede einzelne Session, die am Netzwerk-Edge wieder gegen die ursprünglichen IP-Adressen des Source-/Destination Paares ausgetauscht werden.
Es wird ein „Session basierendes“, dynamisches Netzwerk gebildet, das ohne ressourcenintensive Tunnel-Verschlüsslung auskommt.
Damit liegen die Vorteile klar auf der Hand. Eine Einsparung des beträchtlichen Tunnel-Overheads und der Wegfall der „Encapsulation“ jedes Paketes einer Session.
Juniper Networks gibt an, durchschnittlich 30% bis 40% einsparen zu können, wobei die Größenordnung natürlich von der verwendeten Tunneltechnik und der Paketgröße abhängig ist. Dies wirkt sich speziell bei Services aus, die mit kleinen Datenpaketen hantieren wie zb. VoIP.
Mehr Bandbreite, weniger „Roundtrips“ bei hohen Latenzen sind die Grundlagen für Performance von Anwendungen.
Aber auch die Sicherheit der Verbindungen kommt nicht zu kurz, selbst wenn der „verschlüsselte“ Tunnel hier wegfällt. Zum einen sind die meisten Anwendungen ohnehin schon abgesichert, was eine weitere Verschlüsselung in einem Tunnel obsolet macht, zum anderen hat Juniper mehrere Mechanismen, wie ein zentralisiertes Policy Management, Hop-by-Hop-Authentication oder Distributed Firewall System in die Lösung integriert. Besonders hervorzuheben ist die Technologie der „Adaptive Encryption“. Diese ermöglicht es, bereits verschlüsselte Daten zu erkennen und nur dann zu verschlüsseln, wenn die Payload unverschlüsselt ist.